FR3089321A1 - Computer attack defense methods and programs - Google Patents

Computer attack defense methods and programs Download PDF

Info

Publication number
FR3089321A1
FR3089321A1 FR1872211A FR1872211A FR3089321A1 FR 3089321 A1 FR3089321 A1 FR 3089321A1 FR 1872211 A FR1872211 A FR 1872211A FR 1872211 A FR1872211 A FR 1872211A FR 3089321 A1 FR3089321 A1 FR 3089321A1
Authority
FR
France
Prior art keywords
network
computer
virtual
vulnerabilities
false
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
FR1872211A
Other languages
French (fr)
Inventor
Elias Riachi
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Priority to FR1872211A priority Critical patent/FR3089321A1/en
Publication of FR3089321A1 publication Critical patent/FR3089321A1/en
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Procédés et programmes d’ordinateur de défense contre les attaques informatiques. L’invention concerne des procédés de défense contre les attaques informatiques et des programmes d’ordinateur comprenant des instructions de code qui, lorsqu’elles sont exécutées sur un processeur, réalisent les étapes des Procédés. L’invention est caractérisée par les procédés appelés Procédé A, Procédé B et Procédé C dans cette demande de brevet et par les programmes d’ordinateurs appelés programme d’ordinateur 1, programme d’ordinateur 2, programme d’ordinateur 3, programme d’ordinateur 4 et programme d’ordinateur 5 dans cette demande de brevet. Et tels qu’ils sont décrits ci-dessus.Computer attack defense methods and programs. The invention relates to methods of defense against computer attacks and to computer programs comprising code instructions which, when executed on a processor, carry out the steps of the Methods. The invention is characterized by the methods called Method A, Method B and Method C in this patent application and by the computer programs called computer program 1, computer program 2, computer program 3, program d computer 4 and computer program 5 in this patent application. And as described above.

Description

DescriptionDescription

Titre de l'invention : Procédés et programmes de Défense contre les attaques informatiques [0001] La présente invention concerne des procédés et programmes d’ordinateur de défense contre les attaques informatiques.Title of the invention: Methods and programs for Defense against computer attacks The present invention relates to methods and programs for computer defense against computer attacks.

[0002] Le domaine technique est : la Sécurité des Systèmes d’information dont le sigle connu est SSI. Ou dit autrement la sécurité informatique.The technical field is: Information Systems Security, the known acronym of which is SSI. Or in other words IT security.

[0003] L’état de la technique antérieure : dans le domaine de la sécurité des systèmes d’information ou dit autrement la sécurité informatique, les procédés antérieures (les concepts antérieurs, les logiques antérieures) de défense contre les attaques et/ou intrusions directes sur un réseau - c’est dire les proceeds existants à ce jour - contre les attaques informatiques, qu’elles soient à des fins d’espionnage(s), de sabotage(s) ou de verrouillage(s) contre demande(s) de rançon(s), consistent à défier, avec un (des) réseau(x) « figé(s) » , « statique(s) » et « passif(s) » un (des) attaquant(s) intelligent(s), actif(s), dynamique(s), agissant tantôt lentement et tantôt de façon furtive. Et ce, par :The state of the prior art: in the field of information systems security or in other words computer security, the previous methods (previous concepts, previous logics) of defense against attacks and / or intrusions direct on a network - that is to say the existing procedures to date - against computer attacks, whether for espionage (s), sabotage (s) or locking (s) against request (s) ) of ransom (s), consist in challenging, with a network (s) "frozen (s)", "static (s)" and "passive (s)" an (s) intelligent attacker (s) ( s), active (s), dynamic (s), sometimes acting slowly and sometimes stealthily. And this, by:

- des capteurs installés sur un (des) réseau(x) et des équations et règles prédéfinies analysant les informations remontées par les capteurs pour la détection (l’interception) « d’intrusion(s) informatiques» et « d’exploitation(s) d’intrusion(s) » par la détection d’activité(s) informatique(s) sur un (des) réseau(x) ; activité(s) « jugée(s) » illégitime(s) par les règles et équations d’analyses.- sensors installed on a network (s) and predefined equations and rules analyzing the information reported by the sensors for the detection (interception) of "computer intrusion (s)" and "exploitation (s) ) intrusion (s) ”by detecting computer activity (ies) on a network (s); activity (ies) "deemed" illegitimate by the analysis rules and equations.

- l’envoi d’alerte(s) pour la neutralisation et/ou l’envoi d’alerte(s) accompagné de neutralisation (bloquage) automatique.- sending alert (s) for neutralization and / or sending alert (s) accompanied by automatic neutralization (blocking).

- des programmes d’ordinateurs pour protéger les terminaux (les ordinateurs par exemple) basés d’une part, sur la sauvegarde dans leur(s) mémoire(s) de l’activité « dite normale » et d’autre part, sur la détection d’activité(s) « jugée(s) » anormale(s) ; et ce également par la détection de signature(s) de codes malveillants recensés à priori et intégrés dans la base de données des programmes.- computer programs to protect the terminals (computers for example) based on the one hand, on the safeguarding in their memory (S) of the activity known as “normal” and on the other hand, on the detection of abnormal "deemed (s)" activity (ies); and this also by detecting the signature (s) of malicious codes identified a priori and integrated into the program database.

[0004] Note : le(s) système(s) d’information ou dit autrement le(s) système(s) informatique(s) sont parfois cités dans cette demande de brevet par (grâce à) leur sigle à savoir, SL [0005] Les attaques (les menaces) : notons qu’il existe en gros trois types d’attaques (menaces) ou dit autrement trois grandes familles d’attaques informatiques (menaces) :Note: the information system (s) or in other words the computer system (s) are sometimes cited in this patent application by (thanks to) their acronym, namely SL Attacks (threats): note that there are roughly three types of attacks (threats) or in other words three major families of computer attacks (threats):

- L’attaque qu’on appellera Attaque type 1 (Menace 1) dans ces documents de demande de brevet et dont les étapes sont décrites dans la figure 1 se trouvant conformément à la regiementation à la fin de ces documents de demande de brevet. L’attaque type 1 est une attaque qu’on qualifiera d’attaque directe sur le (les) réseau(x).- The attack which will be called Attack type 1 (Threat 1) in these patent application documents and the steps of which are described in Figure 1 found in accordance with the regulations at the end of these patent application documents. Type 1 attack is an attack that we will call a direct attack on the network (s).

- L’attaque qu’on appellera Attaque type 2 (Menace 2) dans ces documents de demande de brevet est une attaque (menace) sur les terminaux (ordinateurs à titre d’exemple non exclusif) c’est à dire une attaque qui cible les terminaux (ordinateurs à titre d’exemple non exclusif) par le biais de courriers éléctroniques piégés c’est à dire portant (comportant) dans leurs contenus des codes malveillants.- The attack which will be called Attack type 2 (Threat 2) in these patent application documents is an attack (threat) on the terminals (computers by way of non-exclusive example), ie an attack which targets terminals (computers by way of nonexclusive example) by means of trapped electronic mail, ie carrying (containing) malicious content in their content.

Ces derniers, c’est à dire les terminaux, des ordinateurs à titre d’exemple non exclusif, sont connectés à un (des) réseau(x) et constituent donc aussi un (des) point(s) d’entrée(s), d’accès, d’accroche(s), sur (à) un (des) réseau(x).The latter, that is to say the terminals, computers by way of nonexclusive example, are connected to one (or more) network (s) and therefore also constitute one (or more) entry point (s) , access, attachment (s), on (to) one (or more) network (s).

Ils (les terminaux) peuvent également permettre une escalade du (des) réseau(x) par la suite. Une escalade qu’on appelle également techniquement parfois une latéralisation de l’attaque. Cela dépend aussi du point de départ pour (de) l’attaquant, c’est à dire du niveau de droits d’utilisateur octroyé(s) à l’utilisateur du terminal (aux utilisateurs des terminaux) par l’administrateur du réseau, que l’attaquant a réussi à infiltrer, à infecter ou dit autrement sur lequel (lesquels) il a réussi à exécuter un / son (des / ses) code(s) malveillant(s).They (the terminals) can also allow an escalation of the network (s) thereafter. An escalation which is also technically sometimes called lateralization of the attack. It also depends on the starting point for (the) attacker, i.e. the level of user rights granted to the terminal user (to terminal users) by the network administrator, that the attacker has successfully infiltrated, infected or otherwise said on which one (s) he has successfully executed malicious code (s).

- L’attaque qu’on appellera Attaque type 3 (ou menace 3) est un réalisable par (grâce à) un (des) accès physique(s) pour réussir « un (des) branchement(s) » sur le réseau. Unique(s) ou répétitif(s).- The attack which we will call Attack type 3 (or threat 3) is achievable by (thanks to) one (of) physical access (s) to succeed "one (of) connection (s)" on the network. Unique (s) or repetitive (s).

[0006] Notons que l’objet de cette demande de brevet concerne des procédés de défense et produits programmes d’ordinateur contre les attaques (menaces) type 1, 2 et 3.It should be noted that the subject of this patent application relates to defense methods and computer program products against type 1, 2 and 3 attacks (threats).

[0007] La figure 1 représente en coupe, le schéma (les étapes) des attaques type 1 et 3. [0008] L’attaquant peut toutefois ne pas suivre forcément les étapes décrites dans le schéma ci-dessous (dans l’ordre, ou dans l’ordre décrit) et tenter. Etant donné que l’attaquant peut décider d’attaquer (de tenter des attaques ou dit autrement des exploitations ou une exploitation sur) X cibles en même temps et se dire qu’il verra bien où - c’est à dire sur quelle(s) cible(s) - son exploitation (ses exploitations) fonctionnera (fonctionneront) sans forcément suivre une logique optimisant ses chances de réussite sur une cible donnée.FIG. 1 represents in section, the diagram (the stages) of attacks type 1 and 3. [0008] The attacker can however not necessarily follow the stages described in the diagram below (in order, or in the order described) and try. Since the attacker can decide to attack (to attempt attacks or in other words exploitations or exploitation on) X targets at the same time and tell himself that he will see where - ie on which (s ) target (s) - its exploitation (its exploitations) will function (will function) without necessarily following a logic optimizing its chances of success on a given target.

[0009] Donc même si les ATTAQUES D et E décrites dans le schéma 1 ci-dessous ont très peu de chance d’aboutir (de réussir), tout le monde n’est pas forcément logique et/ou ne suit pas forcément une logique qui optimise les chances de réussite sur une cible donné. Notamment si dès le départ la stratégie consiste à « tenter » sur un grand nombre X de cibles différentes.So even if ATTACKS D and E described in diagram 1 below are very unlikely to succeed (everyone) is not necessarily logical and / or does not necessarily follow a logic which optimizes the chances of success on a given target. Especially if from the start the strategy consists in "trying" on a large number X of different targets.

[0010] Donc nous sommes contraint de distinguer sur la base de ce que nous venons d’expliquer et sur la base des étapes décrites dans le schéma 1 plusieurs types ou dit autrement combinaisons d’étapes possibles : cinq (5) pour être précis. Voici le schéma 1 (notons que le schema 1 se lit avec la figure 1 décrivant les étapes 1, 2, 3, 4 et 5 du schema 1 et précisons que la figure 1 se trouve à la fin de cette demande de brevet conformément à la règlementation) :So we are forced to distinguish on the basis of what we have just explained and on the basis of the steps described in diagram 1 several types or in other words combinations of possible steps: five (5) to be precise. Here is diagram 1 (note that diagram 1 is read with figure 1 describing steps 1, 2, 3, 4 and 5 of diagram 1 and let us specify that figure 1 is at the end of this patent application in accordance with the regulations):

[0011] ATTAQUE « A » = ÉTAPE 1 + ÉTAPE 2 + ÉTAPE 3 + ÉTAPE 4 + ÉTAPE 5 [0012] ATTAQUE « B » = ÉTAPE 2 + ÉTAPE 3 + ÉTAPE 4 + ÉTAPE 5 [0013] ATTAQUE « C » = ÉTAPE 3 + ÉTAPE 4 + ÉTAPE 5 [0014] ATTAQUE « D » = ÉTAPE 5 [0015] ATTAQUE « E » = Exploitation(s) de failles « 0 day ».ATTACK "A" = STEP 1 + STEP 2 + STEP 3 + STEP 4 + STEP 5 [AT12] ATTACK "B" = STEP 2 + STEP 3 + STEP 4 + STEP 5 [AT13] ATTACK "C" = STEP 3 + STEP 4 + STEP 5 [0014] ATTACK "D" = STEP 5 [ATTACK "E" = Exploitation (s) of faults "0 day".

[0016] Explication de faille 0 day : faille 0 day veut dire « une faille fabriquant ». C’est à dire une faille lors du codage chez le(s) fabriquant(s) du (des) programme(s) utilisé(s) par la cible sur une ou plusieurs version(s) donnée(s). Le(s) fabricants arrive(nt) à remédier à ces failles généralement quand ils apprennent leur(s) existences suite à une attaque 0 Day relative à leur(s) produit(s) et font profiter leur(s) client(s) des remédiations par le biais de mises à jours. Mais avant la (les) correction(s) et la (les) mise(s) à jour, la cible reste vulnérable. Et quand une faille zéro Day est utilisée pour la première fois (donc non récupérée sur le web noir ou ailleurs) ou cherchée (trouvée) par la décortication d’un code pour attaquer une cible précise, cela est fatale.Explanation of 0 day fault: 0 day fault means "a manufacturing fault". That is to say a flaw during the coding at the manufacturer (s) of the program (s) used by the target on one or more given version (s). The manufacturer (s) manage (s) to remedy these flaws generally when they learn their existence (s) following a 0 Day attack relating to their product (s) and pass on the benefit to their customer (s). remedies through updates. But before the correction (s) and the update (s), the target remains vulnerable. And when a zero Day flaw is used for the first time (therefore not recovered on the black web or elsewhere) or sought (found) by peeling a code to attack a specific target, this is fatal.

[0017] PS 1 : Lors de l’attaque E l’attaquant n’utilise pas « forcément » une exploitation 0 Day pour des programmes qu’il a identifié chez sa cible. Mais utilise parfois des exploitations 0 Day connues et/ou récupérées sur ce qu’on appelle le web noir (une plateforme d’échanges anonymes utilisée par les pirates) en espérant que le(s) programme(s) pour lequel (lesquels) il dispose de faille(s) 0 Day existe(nt) chez sa cible. Les programmes étant souvent répandus, les fabricants de programmes informatiques n’étant pas très nombreux. Une faille pour des programmes Microsoft par exemple.PS 1: During attack E, the attacker does not "necessarily" use a 0 Day exploitation for programs that he has identified in his target. But sometimes uses known and / or recovered 0 Day exploitations on what is called the black web (an anonymous exchange platform used by hackers) hoping that the program (s) for which (which) it has flaw (s) 0 Day exists (s) in its target. The programs are often widespread, the manufacturers of computer programs not being very numerous. A flaw for Microsoft programs for example.

[0018] PS 2 : lors de l’attaque D, l’attaquant n’utilise pas des exploitations pour des vulnérabilités recueillies sur le (les) réseau(x) de la cible après avoir interrogé le (les) réseau(x) de la cible vu qu’il saute l’étape 3 de la figure 1. Il utilise une (des) exploitation(s) connue(s) et/ou récupérée(s) sur le « web noir » connu sous le nom de « dark web » en anglais, ou ailleurs par différents biais, en espérant que la (les) vulnérabilité(s) existe(nt) chez sa (ses) cible(s).PS 2: during attack D, the attacker does not use exploitations for vulnerabilities collected on the target network (s) after interrogating the network (s) of the target since it skips step 3 of figure 1. It uses a known exploitation (s) and / or recovered (s) on the "black web" known under the name of "dark web ”in English, or elsewhere through various means, hoping that the vulnerability (s) exists (s) in its target (s).

Les étapes des attaques types 2 sont :The stages of type 2 attacks are:

- étape 1 : envoyer un (des) courrier(s) électronique(s) (dit également courriels ou courriel au singulier) dit piégé(s) vers l’adresse (les adresses) électronique(s) un utilisateur (des utilisateurs) d’un terminal (de terminaux) branché(s) sur un (des réseaux) donné(s). Des courrier(s) électronique(s) piégés c’est à dire des courrier(s) électroniques contenant une infection ou dit autrement un virus ou dit autrement un cheval de Troie ou dit autrement un Malware ou dit autrement un (des) code(s) malveillant(s) excecutable(s) sur un terminal (des terminaux) - des ordinateurs à titre d’exemple non exclusif - ; et permettant une (des) action(s) sur le terminal (les terminaux) sur lequel (lesquels) sera (seront) ouvert(s), - exécuté(s) - le (les) code(s) malveillants par l’ouverture de pièce(s) jointe(s) au(x) courriels et/ou par le cliquage (c’est à dire action consistant à cliquer) sur le(s) lien(s) hypertexte dans le (les) contenus du (des) courriel(s).- step 1: send one (or more) electronic mail (s) (also known as email or singular email) said trapped (s) to the electronic address (es) of a user (of users) d '' a terminal (of terminals) connected to a given network (s). Trapped e-mail (s) i.e. e-mail (s) containing an infection or otherwise saying a virus or otherwise saying a Trojan horse or otherwise saying Malware or otherwise saying a code (s) ( s) malicious executable (s) on a terminal (terminals) - computers by way of non-exclusive example -; and allowing an action (s) on the terminal (terminals) on which (which) will be (will) be opened, - executed (s) - the malicious code (s) by opening of attachment (s) to e-mail (s) and / or by clicking (i.e. action consisting in clicking) on the hypertext link (s) in the content (s) of the ) email (s).

- étape 2 : Récupérer les informations disponibles sur le terminal (les terminaux), le (les) saboter ou le (les) verrouiller contre demande(s) de rançon(s). Et/ ou escalader le réseau à partir de ce terminal (ces terminaux) étant donné qu’il est (sont) connecté(s) au(x) réseau(x). La profondeur (l’ampleur) de la menace et/ou de l’attaque dépendra du point de départ. C’est à dire du (des) terminal (terminaux) atteint(s) par le(s) code(s) malveillant(s) et des droits octroyés sur le réseau (par l’administrateur légal du réseau) à l’utilisateur dont l’attaquant s’est procuré un accès à distance à son terminal. Ou encore interroger le réseau à partir de ce terminal. Ou récupérer des informations disponibles sur le terminal.- step 2: Retrieve the information available on the terminal (terminals), sabotage it (s) or lock it (s) against ransom demand (s). And / or escalate the network from this terminal (these terminals) since it is (are) connected to the network (s). The depth (magnitude) of the threat and / or attack will depend on the starting point. That is to say the terminal (s) reached by the malicious code (s) and the rights granted on the network (by the legal administrator of the network) to the user whose attacker obtained remote access to his terminal. Or interrogate the network from this terminal. Or retrieve information available on the terminal.

[0019] Rappelons que l’attaque qu’on appelle Attaque 2 (Menace 2) dans cette demande de brevet est une attaque (menace) sur les terminaux (ordinateurs à titre d’exemple non exclusif) c’est à dire qui cible les terminaux.Recall that the attack called Attack 2 (Threat 2) in this patent application is an attack (threat) on the terminals (computers by way of non-exclusive example), that is to say which targets the terminals.

[0020] Rappelons également que ces derniers, c’est à dire les terminaux, sont connectés à un (des) réseau(x) et constituent donc aussi un (des) point(s) d’entrée(s), d’accès, sur le (les) réseau(x) auxquels (sur lesquels) ils (les terminaux) sont connectés / installés. Ils (les terminaux) peuvent également permettre une escalade du (des) réseau(x) par la suite. Une escalade qu’on appelle également parfois techniquement : une latéralisation de l’attaque. Rappelons aussi que cela dépend du point de départ pour (de) l’attaquant, c’est à dire du niveau de droits d’utilisateur octroyé(s) à l’utilisateur du terminal (aux utilisateurs des terminaux) par l’administrateur du réseau, que l’attaquant a réussi à infiltrer, à infecter ou dit autrement sur lequel (lesquels) il a réussi à exécuter un (des) code(s) malveillant(s).Also remember that the latter, that is to say the terminals, are connected to one (of) network (s) and therefore also constitute one (s) point (s) of entry (s), of access , on the network (s) to which they (the terminals) are connected / installed. They (the terminals) can also allow an escalation of the network (s) thereafter. An escalation that is also sometimes called technically: lateralization of the attack. Also remember that it depends on the starting point for (the) attacker, i.e. the level of user rights granted to the terminal user (to terminal users) by the administrator of the network, that the attacker has successfully infiltrated, infected or otherwise said on which one (s) he has successfully executed malicious code (s).

[0021] Avant de décrire les solutions techniques et procédés antérieures (existants) notons, tout d’abord, que les solutions techniques existantes sont efficaces. Et que l’objet de cette demande de brevet n’est en aucun cas de les critiquer et/ou les remplacer « mais de les compléter » par des Procédés (concepts, logiques) et Programmes d’ordinateurs « nouveaux », « complémentaires » mais aussi « supplémentaires » et à très grande(s) valeur(s) ajoutée(s).Before describing the technical solutions and previous (existing) processes, let us note, first of all, that the existing technical solutions are effective. And that the object of this patent application is in no way to criticize and / or replace them "but to complete them" with "New", "complementary" Processes (concepts, logic) and Computer Programs but also "additional" and with very high added value (s).

[0022] Ces documents de demande de brevet pointent toutefois la (les) limites de l’existant ainsi que les failles et/ou marge(s) d’insécurité(s) laissée(s) par les solutions existantes et/ou par le (les) mode(s) de gestion(s) adopté(s) par les utilisateurs de ces solutions, qui permettent encore aujourd’hui beaucoup de piratages et d’attaques informatiques réussis ; pour proposer des Procédés et Programmes d’ordinateurs « nouveaux », « différents », supplémentaires, parfois complémentaires à l’existant et à très grande(s) valeur(s) ajoutée(s).These patent application documents point however to the (the) limits of the existing as well as the loopholes and / or margin (s) of insecurity (s) left by the existing solutions and / or by the (the) mode (s) of management (s) adopted by the users of these solutions, which still allow many hacks and successful computer attacks today; to offer "new", "different", additional, sometimes complementary, computer processes and programs with very high added value (s).

[0023] Les solutions antérieures (déjà existantes) sont :The previous solutions (already existing) are:

- des solutions d’Analyse(s) de réseau(x).- Network Analysis (s) solutions (x).

- des solutions d’Analyse(s) de terminaux.- Terminal Analysis solutions.

- des solutions d’analyses pour la détection de code malveillants sur les terminaux sur la base de recensement(s) antérieur(s).- analysis solutions for the detection of malicious code on terminals on the basis of previous census (es).

- des solutions de configuration de droits d’actions sur un (des) réseau(x).- solutions for configuring share rights on a network (s).

[0024] En effet, la Sécurité des Systèmes d’information (SSI) - ou dit autrement - la Sécurité des Systèmes Informatiques « contre les attaques directes de type 1 », se base (s’appuie) donc jusqu’à ce jour sur des « Solutions d’Analyse(s) de réseau(x) » et/ou « d’Analyse de terminaux » pour la détection d’activité(s) jugée(s) anormale(s) par les règles et équations prédéfinies et pour la détection de code malveillants sur la base de recensement(s) antérieur(s) de ce qu’on appelle techniquement « des signatures ». La Sécurité des Systèmes Informatiques (Systèmes d’informations) « contre les attaques directes de type 1 » se base également sur des solutions de configuration de droits d’actions sur le réseau.Indeed, the Security of Information Systems (SSI) - or in other words - the Security of Computer Systems "against direct type 1 attacks", is based (based) so far on "Network Analysis (s) Solutions" and / or "Terminal Analysis Solutions" for the detection of activity (s) judged abnormal by the predefined rules and equations and for the detection of malicious code on the basis of previous census (es) of what is technically called "signatures". The Security of Computer Systems (information systems) "against direct type 1 attacks" is also based on solutions for configuring share rights on the network.

[0025] Les « Solutions d’Analyse(s) de réseau(x) » :"Network Analysis Solutions (s)":

- capteurs installés sur un (des) réseau(x) pour remonter des informations relatives à l’activité du (des) réseau(x), à savoir les logs, avec des Outils d’Analyses des informations remontées par les capteurs (outils d’analyses de logs). Et ce, pour la détection et/ou l’interception de présence(s) et/ou activité(s) « jugée(s) » illégitimes. L’analyse (les analyses) s’effectue(nt) par des (sur la base de) règles et équations d’analyse(s) (codes informatiques) prédéfinis. Ces outils sont appelés SIEM dans le milieu de la sécurité informatique. Ces outils sont dotés d’un (de) système(s) d’alerte(s) et/ou blocage(s) automatique(s). Les règles et équations (codes) de ces outils font l’objet de mises à jour.- sensors installed on a network (s) to report information relating to the activity of the network (s), namely the logs, with Analysis Tools for the information reported by the sensors ( 'log analyzes). This is for the detection and / or interception of presence (s) and / or activity (ies) "deemed (s)" illegitimate. The analysis (analyzes) is carried out by (on the basis of) predefined analysis rules and equations (computer codes). These tools are called SIEM in the IT security world. These tools are equipped with an automatic alert and / or blocking system (s). The rules and equations (codes) of these tools are subject to updates.

- outils d’analyses complémentaires qui analysent « l’historique » ou « les historiques » des premiers outils d’analyses pour « vérifier » qu’il n’y a pas eu une ou plusieurs activité(s) « à juger illégitimes » qui n’a (n’ont) pas été remontée(s) dans les alertes. Ces analyses sont également faites sur la base de règles et équations (codes) prédéfinies. Et font également l’objet de mises à jour.- additional analysis tools which analyze the "history" or "the histories" of the first analysis tools to "verify" that there has not been one or more activity (s) "to be considered illegitimate" which has not been reported in the alerts. These analyzes are also made on the basis of predefined rules and equations (codes). And are also subject to updates.

- les « Pots de miel » qui sont généralement des adresses IP laissées vacantes sciamment afin que l’attaquant (les attaquants - les pirates) les utilisent ; et sont équipés de capteurs pour l’intercepter (les intercepter). L’attaquant (les attaquants) cherchant parfois à s’octroyer une (des) adresse(s) IP d’abord sur le réseau comme point de départ (d’accroche). Et/ou pour interroger le réseau à partir de cette (ces) adresses IP et exploiter et/ou escalader le réseau par la suite.- "Honey jars" which are generally IP addresses left vacant so that the attacker (attackers - hackers) can use them; and are equipped with sensors to intercept (intercept) them. The attacker (attackers) sometimes seeking to grant themselves an IP address (es) first on the network as a starting point (hook). And / or to interrogate the network from this (these) IP addresses and exploit and / or escalate the network thereafter.

[0026] Les « Solutions d’Analyse de terminaux » :"Terminal Analysis Solutions":

- « Endpoint » : c’est à dire des outils qui d’abord mémorisent (sauvegardent dans une mémoire) l’activité (les activités) « appelée(s) normale(s) » d’un terminal (un ordinateur à titre d’exemple non exclusif). Puis envoient une (des) alerte(s) et/ou bloquent le terminal (les terminaux) si une (des) activité(s) différente(s) de celle(s) « enregistrée(s) comme étant normale(s) » est (sont) détectée(s) sur le terminal (les terminaux) ; ou dit autrement si une (des) activité(s) différente(s) de celle(s) « enregistrée(s) dans la mémoire de l’outil comme étant normale » est (sont) détectée(s).- "Endpoint": that is to say tools which first memorize (save in a memory) the activity (activities) "called (s) normal (s)" of a terminal (a computer as 'nonexclusive example). Then send an alert (s) and / or block the terminal (terminals) if an activity (ies) different from that (s) "recorded as being normal" is (are) detected on the terminal (the terminals); or in other words if an activity (ies) different from that (s) "recorded in the tool memory as being normal" is (are) detected.

[0027] Les « Solutions d’analyses pour la détection de code malveillants sur les terminaux sur la base de recensement(s) antérieur(s) de ce qu’on appelle techniquement des signatures »:"Analysis solutions for the detection of malicious code on terminals on the basis of previous census (es) of what are technically called signatures":

- les anti-virus et anti-malware.- anti-virus and anti-malware.

[0028] Les solutions « de configuration (d’octroi) de droits d’actions sur le réseau »:The "configuration (granting) of action rights on the network" solutions:

- Les pares-feux.- Firewalls.

[0029] Les limites des solutions existantes :The limits of existing solutions:

Rappelons que les solutions techniques existantes sont efficaces et que l’objet de cette demande de brevet n’est en aucun cas de les remplacer « mais de les compléter » par des Procédés et Programmes d’ordinateurs d’abord très « différents » et qui sont « supplémentaires » et parfois « complémentaires » à l’existant. Ces documents de demande de brevet pointe toutefois les limites de l’existant (des technologies existantes) et les failles et/ou marge(s) d’insécurité(s) laissées par les solutions existantes et par la (les) gestion(s) faite(s) par les utilisateurs des solutions existantes, qui permettent encore aujourd’hui un très grand nombre de piratages et d’attaques informatiques réussis, pour proposer des Procédés (des concepts, des logiques) « nouveaux », « différents », supplémentaires et parfois complémentaires à l’existant et à très grande(s) valeur(s) ajoutée(s) ; ainsi que des Programmes d’ordinateurs comprenant des instructions de code qui, lorsqu’elles sont exécutées sur un processeur, réalisent les étapes des Procédés « nouveaux », « différents », supplémentaires, complémentaires à l’existant et à très grande(s) valeur(s) ajoutée(s).Let us recall that the existing technical solutions are effective and that the object of this patent application is in no case to replace them "but to supplement them" with Computer Processes and Programs which are initially very "different" and which are "additional" and sometimes "complementary" to the existing one. These patent application documents point however to the limits of the existing (existing technologies) and the loopholes and / or margin (s) of insecurity (s) left by the existing solutions and by the management (s). made by the users of existing solutions, which still allow today a very large number of hacks and successful computer attacks, to propose "new", "different", additional Processes (concepts, logics) and sometimes complementary to the existing and with very high added value (s); as well as Computer Programs comprising code instructions which, when executed on a processor, carry out the steps of the “new”, “different”, additional, complementary to the existing and very large (s) Processes added value (s).

[0030] Limite(s) ou dit autrement faille(s) (du point de vue de l’attaquant) des solutions d’analyses de réseaux par des capteurs et l’analyse des informations remontées par les capteurs :Limit (s) or in other words fault (s) (from the attacker's point of view) of network analysis solutions by sensors and the analysis of information reported by the sensors:

- Rappelons que les outils d’Analyses (de logs) équipés de capteurs décrits ci-dessus sont très efficaces mais fondent la sécurité sur la détection, l’alerte et le blocage automatique (ou bloquage manuel) sur la base de règles et équations d’analyses prédéfinies qui font l’objet de mises à jour. Or ceci présente deux limites ou disons du point de vue de l’attaquant, deux failles exploitables par un attaquant s’agissant des solutions d’analyses de réseaux.- Recall that the Analysis tools (logs) equipped with sensors described above are very effective but base security on detection, alert and automatic blocking (or manual blocking) on the basis of rules and equations d 'predefined analyzes which are subject to updates. However, this presents two limits or say from the point of view of the attacker, two flaws exploitable by an attacker with regard to network analysis solutions.

[0031] La première:The first:

Le réseau étant en activité lors des heures de travail, « la détection et le blocage automatique » de « ce qui est jugé » ou « de l’activité sur le réseau jugée » ou « des activités sur les réseaux jugées » suspicieuse(s) et/ou illégitime(s) par les règles et équations prédéfinies de l’outil (des outils) décrits dans a) sont faits à partir « d’un arbitrage de configuration ». Car l’activité « d’un pirate » ou disons d’une personne « qui s’introduit de manière illégitime sur un réseau » génère « des activités plus ou moins similaires » à celles des utilisateurs légitimes. En fonction de la prudence et de la ruse de l’attaquant.As the network is active during working hours, "automatic detection and blocking" of "what is judged" or "activity on the judged network" or "activities on the judged networks" suspicious (s) and / or illegitimate by the predefined rules and equations of the tool (tools) described in a) are made from "configuration arbitration". Because the activity of "a hacker" or say a person "who illegally enters a network" generates "activities more or less similar" to those of legitimate users. Depending on the caution and cunning of the attacker.

[0032] Si les outils d’analyses sont réglés pour suspecter ou « pour juger suspect » et bloquer (et/ou alerter de) toutes les activités sur un (des) réseau(x) pour obtenir un risque égal à zéro, toutes les activités (les logs) sur le (les) réseau(x) seront remontés en alertes et le(s) réseau(x) sera (seront) bloqué(s) en permanence en cas de mise en place d’option(s) de blocage(s) automatique(s). C’est pourquoi, l’utilisateur (les utilisateurs) de ces outils doit (doivent) faire un arbitrage et laisse(nt) ainsi une marge d’insécurité par laquelle le pirate peut opérer sans être ni bloquer, ni détecter.If the analysis tools are set to suspect or "to judge suspect" and block (and / or alert of) all activities on one (or more) network (s) to obtain a risk equal to zero, all activities (logs) on the network (s) will be raised in alerts and the network (s) will be (will) be blocked permanently in the event of setting up option (s) automatic blocking. This is why, the user (users) of these tools must (must) make an arbitration and thus leave (s) a margin of insecurity by which the hacker can operate without being neither blocking nor detecting.

[0033] La deuxième :The second:

Le réseau étant en activité lors des heures de travail, « la détection et les alertes sans blocage automatique » concernant « ce qui est jugé » ou disons « de l’activité jugée » suspicieuse et/ou illégitime par les règles et équations prédéfinies de l’outil (des outils) décrits dans a) sont également faits à partir « d’un arbitrage » ou dit autrement se basent « sur un arbitrage de configuration » ou dit autrement « un arbitrage dans la configuration des outils d’analyses (de logs)» [0034] Car comme lors de la détection et le bloquage automatique, l’activité « d’un pirate » ou disons d’une personne malveillante « qui s’introduit de manière illégitime sur le réseau » génère « des activités plus ou moins similaires » à celles des utilisateurs légitimes. En fonction de la prudence et de la ruse de l’attaquant.The network being active during working hours, "detection and alerts without automatic blocking" concerning "what is judged" or say "activity deemed" suspicious and / or illegitimate by the predefined rules and equations of the The tool (tools) described in a) are also made from “an arbitration” or in other words are based “on a configuration arbitration” or in other words “an arbitration in the configuration of the analysis tools (of logs ) "Because, as in the case of automatic detection and blocking, the activity of" a hacker "or, say, a malicious person" who illegally enters the network "generates" more or less less "like" legitimate users. Depending on the caution and cunning of the attacker.

[0035] Si les outils d’analyses sont réglés « pour suspecter ou disons pour juger suspect et alerter de toutes les activités sur le réseau ; réglage permettant d’obtenir un risque égal à zéro », toutes les activités (les logs) sur le(s) réseau(x) seront remontés en alertes.If the analysis tools are set "to suspect or say to judge suspect and alert of all activity on the network; setting allowing to obtain a risk equal to zero ", all the activities (logs) on the network (s) will be raised in alerts.

[0036] Et dans ce cas « la seule et simple visualisation et vérification du contenu des alertes » vu leurs quantités par minute voire par seconde nécessiteraient des dizaines voire des centaines d’humains « très qualifiés en plus » pour en juger la pertinence.And in this case "the only and simple visualization and verification of the content of alerts" given their quantities per minute or even per second would require tens or even hundreds of humans "highly qualified in addition" to judge their relevance.

[0037] Et dans ce cas, les règles et équations prédéfinies d’analyses de logs seraient inutiles, leurs existences étant utiles pour éviter d’employer une centaine de personnes très qualifiées pour analyser humainement l’activité du (des) réseau(x) et les logs.And in this case, the predefined rules and equations for log analysis would be useless, their existence being useful to avoid employing a hundred highly qualified people to analyze humanely the activity of the network (s) and logs.

[0038] C’est pourquoi, qu’il s’agisse de « détection et blocage automatique » ou de « détection et alertes sans blocage automatique », l’utilisateur de ces outils doit faire un arbitrage entre ce qu’on appelle un taux de silence et un taux de bruit.This is why, whether it is “automatic detection and blocking” or “detection and alerts without automatic blocking”, the user of these tools must make a trade-off between what is called a rate of silence and a noise rate.

[0039] Une configuration de l’outil permettant un risque très faible voire quasi-nul augmente systématiquement le taux de bruit dans les alertes et bloquerait le réseau en permanence et/ou nécessiterait un grand nombre d’humains très qualifiés pour vérifier les alertes qui contiendraient beaucoup de bruit ou dit autrement les alertes qui contiendraient de fausses alertes ; et ce en temps réel.A configuration of the tool allowing a very low or almost zero risk systematically increases the noise rate in the alerts and would block the network permanently and / or would require a large number of highly qualified humans to verify the alerts which would contain a lot of noise or otherwise say alerts that would contain false alerts; and this in real time.

[0040] Une configuration que nous appelerons « raisonnable » de l’outil permettant des blocages automatique et/ou remontées d’alertes « raisonnables » et surtout « gérables » augmente systématiquement le taux de silence ou dit autrement le risque de silence. C’est à dire une (des) activité(s) illégitime(s) qui ne remonte(nt) pas dans les alertes et qui ne sont ni détectées ni bloquées par les outils d’analyses.A configuration that we will call "reasonable" of the tool allowing automatic blocking and / or raising of "reasonable" and above all "manageable" alerts systematically increases the rate of silence or in other words the risk of silence. That is to say an illegitimate activity (ies) which does not go up in the alerts and which are neither detected nor blocked by the analysis tools.

[0041] La (une) configuration dite « raisonnable » des solutions a) sur la base des éléments décrits ci-dessus, crée donc ainsi une marge d’insécurité et laisse donc une (des) faille(s) par laquelle (lesquelles) le(s) pirate(s), l’attaquant ou dit autrement une (des) personne(s) malveillante(s) peut (peuvent) opérer (c’est à dire s’introduire, rester présent et travailler de manière illégitime sur un réseau) sans être ni détecté(s), ni bloqué(s) et sans générer d’alertes.The (a) so-called "reasonable" configuration of solutions a) on the basis of the elements described above, thus creates a margin of insecurity and therefore leaves one (or more) flaw (s) by which (which) the hacker (s), the attacker or in other words an attacker (s) can (can) operate (i.e. break in, remain present and work illegitimately on a network) without being detected, blocked or generating alerts.

[0042] Limite(s) ou dit autrement (du point de vue de l’attaquant), les faille(s) des solutions d’analyses complémentaires qui analysent « l’historique » ou « les historiques » des premiers outils d’analyses par les capteurs :Limit (s) or in other words (from the point of view of the attacker), the flaw (s) of the complementary analysis solutions which analyze "the history" or "the histories" of the first analysis tools by sensors:

- D’abord, la détection dans l’historique est de facto et par définition une détection « tardive ». Car si l’activité illégitime est enregistrée seulement dans l’historique c’est qu’elle n’a pas été remontée dans les alertes à temps et ΓΙΡ utilisée par son auteur n’a pas donc été bloquée.- First, the detection in the history is de facto and by definition a "late" detection. Because if the illegitimate activity is recorded only in history, it is that it was not raised in the alerts in time and ΓΙΡ used by its author was not therefore blocked.

[0043] Dans le cadre d’une attaque basée sur une exploitation rapide (de sabotage ou de verrouillage contre demande de rançon) et donc sur la furtivité, ce procédé de défense par détection ultérieure dans l’historique n’est pas efficace.In the context of an attack based on rapid exploitation (sabotage or locking against ransom demand) and therefore on stealth, this defense method by subsequent detection in history is not effective.

[0044] D’autre part, les règles d’analyse(s) dans l’historique (les historiques) se basent sur la détection d’activité(s) « jugées » illégitime(s) par la détection « d’un grand nombre » (ou un certains nombre disons) d’activité(s) « par le regroupement d’activité(s) provenant d’une même adresse IP par exemple ». Ou par le regroupement « de fractions » dans l’historique qui constituent dans leur ensemble une menace.On the other hand, the rules of analysis (s) in the history (the histories) are based on the detection of activity (s) "deemed" illegitimate (s) by the detection "of a large number ”(or a certain number say) of activity (ies)“ by the grouping of activity (ies) coming from the same IP address for example ”. Or by the grouping of "fractions" in the history which as a whole constitute a threat.

[0045] Or si l’attaquant, « laisse passer du temps entre ses activités » donc entre « les fractions » il n’est pas détecté comme étant illégitime même après analyse(s) de l’historique et regroupement de fractions dans l’historique.However if the attacker, "lets time pass between his activities" therefore between "the fractions" it is not detected as being illegitimate even after analysis (s) of the history and grouping of fractions in the historical.

[0046] Notons également que l’attaquant peut aussi changer d’adresse IP et/ou « jongler » entre plusieurs adresses IP pour générer son activité sur le (les) réseau(x).Note also that the attacker can also change the IP address and / or "juggle" between several IP addresses to generate activity on the network (s).

[0047] Notons pour résumer que l’idée (la stratégie) d’une attaque (activité illégitime) « non détectée » ou disons « non détectable » consiste simplement à adopter un comportement générant une activité « exactement similaire » à celle d’un utilisateur légitime qui génère une activité dans le cadre de l’exercice de sa fonction.To summarize, the idea (the strategy) of an attack (illegitimate activity) "not detected" or let's say "not detectable" simply consists in adopting a behavior generating an activity "exactly similar" to that of a legitimate user who generates an activity in the exercise of his function.

[0048] Enfin, notons que la limite de tous les procédés de défense (logiques de défense) existants basé(s) sur l’analyse de réseau résident dans le fait que le réseau est statique, figé et donc surtout « compréhensible ». Et que les règles d’analyses sont également compréhensibles donc contournables.Finally, note that the limit of all existing defense processes (defense logic) based on network analysis resides in the fact that the network is static, frozen and therefore above all "understandable". And that the analysis rules are also understandable and therefore circumventable.

[0049] En effet, quand on comprend un procédé de défense on trouve toujours une (ou plusieurs) manière(s) de le contourner.Indeed, when we understand a defense process we always find one (or more) way (s) to get around it.

[0050] D’autre part, un (des) attaquant(s) - pirate(s) - peut (peuvent) profiter - et profite(nt) généralement quand il(s) n’est pas (ne sont pas) novice(s) - d’un moment d’absence occasionnel (congé, etc.) ou peut (peuvent) provoquer - et provoque(nt) généralement quand il(s) a (ont) de la créativité - une (des) absence(s) d’un ou plusieurs utilisateur(s) légithne(s) sur un (des) réseau(x) - accident, invitation, rendez-vous, etc. -, pour générer une activité (des activités) à partir de son terminal (leurs terminaux) et/ou son adresse IP (leurs adresses IP).On the other hand, one (s) attacker (s) - pirate (s) - can (can) take advantage - and usually take advantage (s) when he (s) is not (are not) a novice ( s) - from an occasional moment of absence (leave, etc.) or can (can) provoke - and usually provokes (s) when there is (are) creativity (s) - an absence (s) ) of one or more legitithne user (s) on a network (s) - accident, invitation, appointment, etc. -, to generate an activity (activities) from its terminal (their terminals) and / or its IP address (their IP addresses).

[0051] Cette activité (ces activités) - c’est à dire en l’absence de l’utilisateur (des utilisateurs) légithne(s) - ne sera (seront) pas jugée(s) comme étant illégitime(s) ; suspicieuse(s) - par l’outil (les outils) d’analyses car l’outil (les outils) d’analyses « qui détecte(nt) les doublons » ne détecteront pas de « doublons ». Doublon(s) c’est dire deux (ou plusieurs) adresses IP identiques générant une (des) activité(s) (opérant) sur un (des) réseau(x) à partir de deux (ou plusieurs) terminaux différents.This activity (these activities) - that is to say in the absence of the user (users) Legithne (s) - will not be (will) be judged as being illegitimate (s); suspicious (s) - by the analysis tool (s) because the analysis tool (tools) "which detects (s) duplicates" will not detect "duplicates". Duplicate (s) means two (or more) identical IP addresses generating one (of) activity (s) (operating) on one (s) network (s) from two (or more) different terminals.

[0052] Limite(s) ou dit autrement (du point de vue de l’attaquant), les faille(s) des solutions Endpoint :Limit (s) or in other words (from the attacker's point of view), the flaws of Endpoint solutions:

Notons d’abord que les Endpoints protègent seulement les terminaux qui sont connectés au(x) réseau(x) pour empêcher une escalade à partir d’un terminal et ne sont pas concernés par les attaque(s) directes type 1 et 3.First, note that Endpoints only protect terminals that are connected to the network (s) to prevent escalation from a terminal and are not affected by direct attack (s) type 1 and 3.

[0053] Par ailleurs, s’agissant des attaques type 2, les endpoints sont certainement efficaces mais ne permettent pas un risque zéro. Un attaquant intelligent, dans le cadre d’une attaque pour espionnage ou même pour sabotage ou verrouillage contre rançon peut ne travailler à partir du terminal que lors des horaires de travail et opérer de manière à générer une activité jugée très légitime car lente et similaire à l’activité de l’utilisateur légitime dont il a la main sur le terminal.Furthermore, as regards type 2 attacks, endpoints are certainly effective but do not allow zero risk. An intelligent attacker, in the context of an attack for espionage or even for sabotage or locking against ransom may only work from the terminal during working hours and operate in such a way as to generate an activity deemed very legitimate because it is slow and similar to the activity of the legitimate user in their hands on the terminal.

[0054] L’attaquant peut également se contenter de récupérer des informations sur le terminal pour éviter d’être détecté (bloqué) par le(s) pare-feu(x) et pour avoir des éléments permettant de mieux préparer (perfectionner) son attaque et attaquer par la suite un autre terminal et avancer doucement et en « laissant passer du temps entre ses activités ». Ainsi son activité sur le terminal (les terminaux) protégé(s) par les endpoint et pare-feu(x) ne sera pas détectée comme illégitime. Ou quand elle le sera il aurait déjà réussi à avoir des informations.The attacker can also be satisfied with recovering information on the terminal to avoid being detected (blocked) by the firewall (s) and to have elements making it possible to better prepare (perfect) his attack and subsequently attack another terminal and advance slowly and "letting time pass between its activities". Thus its activity on the terminal (terminals) protected by endpoint and firewall (s) will not be detected as illegitimate. Or when it is, he would have already managed to get information.

[0055] Rappelons que l’idée (la stratégie) d’une attaque (activité illégitime) « non détectée » consiste simplement à adopter un comportement générant une activité « exactement similaire » à celle d’un utilisateur légitime qui génère une activité dans le cadre de l’exercice de sa fonction et ce « sans doublon(s) ».Recall that the idea (strategy) of an attack (illegitimate activity) "not detected" is simply to adopt a behavior generating an activity "exactly similar" to that of a legitimate user who generates an activity in the part of the exercise of its function and this "without duplicate (s)".

[0056] Les limites des solutions anti-virus et anti-malware :The limits of anti-virus and anti-malware solutions:

Les anti-virus et anti-malware protègent les terminaux qui sont connectés au(x) réseau(x) seulement. Et pour empêcher une escalade à partir d’un terminal mais ne sont pas concernés par la sécurité directe du (des) réseau(x) et donc par les attaque(s) directes type 1 et par accès physique(s) type 3.Anti-virus and anti-malware protect devices that are connected to the network (s) only. And to prevent escalation from a terminal but are not affected by the direct security of the network (s) and therefore by direct attacks type 1 and by physical access (s) type 3.

[0057] Les anti-virus et anti-malware sont également des solutions efficaces pour protéger les terminaux. Ils détectent la présence « de virus » dit autrement « d’infections » et de code malveillants sur la base (les) base(s) de ce qu’on appelle « une signature » ou des signatures, recensée(s) par les fabricants d’anti-virus et anti-Malware. Chaque Malware et virus ayant une signature introduite(s) dans la (les) base(s) de données des Antivirus et Anti-Malware pour les détecter chez les cibles à protéger.Anti-virus and anti-malware are also effective solutions for protecting terminals. They detect the presence of “viruses”, in other words, “infections” and malicious code based on the basis (s) of what is called “a signature” or signatures, identified by the manufacturers. anti-virus and anti-malware. Each Malware and virus having a signature introduced in the database (s) of Antivirus and Anti-Malware to detect them in the targets to be protected.

[0058] Or :However:

- Quand il s’agit d’une nouvelle infection, les anti-virus et les anti-malware ne détectent pas la signature car elle n’est tout simplement pas enregistrée dans la (les) base(s) de données. Un code malveillant doit être utilisé « au moins » une fois pour être recensé.- When it is a new infection, anti-viruses and anti-malware do not detect the signature because it is simply not saved in the database (s). Malicious code must be used "at least" once to be identified.

- Entre le recensement d’une « nouvelle signature d’infection » et la mise à jour un délai est logiquement nécessaire. En outre, la cible n’effectue pas parfois la (les) mise(s) à jour tout de suite dès qu’elle(s) est (sont) disponible(s) et proposée(s) par le fabriquant d’anti-virus et anti-malware.- Between the identification of a "new signature of infection" and the updating, a delay is logically necessary. In addition, the target does not sometimes perform the update (s) immediately as soon as it (s) is (are) available (s) and proposed (s) by the manufacturer of anti virus and anti-malware.

[0059] Enfin, au-delà des solutions décrites ci-dessus, ou dit autrement « en outre », la Sécurité des Systèmes d’information ou dit autrement la sécurité informatique repose également sur une logique complémentaire d’audits de sécurité récurrents d’un (de) réseau(x) (tests d’intrusions externes et internes ainsi que des audits de recueil de vulnérabilités) pour identifier des failles/vulnérabilités et les corriger.Finally, beyond the solutions described above, or in other words "in addition", the Security of Information Systems or in other words IT security also relies on a complementary logic of recurrent security audits of a network (s) (external and internal intrusion tests as well as vulnerability assessment audits) to identify flaws / vulnerabilities and correct them.

[0060] Toutefois, d’une part, la logique d’audit n’apporte pas de sécurité contre les attaques Type 2.However, on the one hand, the audit logic does not provide security against Type 2 attacks.

[0061] Et d’autre part, la logique d’audit qui consiste donc à réaliser de façon (manière) récurrente un (des) test(s) d’intrusion(s) et/ou des audits de vulnérabilités sur un (des) réseau(x) pour identifier (recueillir) les vulnérabilités et failles présentes sur le(s) réseau(x) puis éditer un (des) rapport(s) avec les remédiations et/ou une feuille de route de remédiations laisse l’environnement (c’est à dire le réseau) vulnérable à plusieurs périodes.And on the other hand, the audit logic which therefore consists in carrying out (recurrently) one (or more) intrusion test (s) and / or vulnerability audits on one (of ) network (s) to identify (collect) the vulnerabilities and flaws present on the network (s) then publish a report (s) with the remedies and / or a remediation roadmap leaves the environment (ie the network) vulnerable to several periods.

[0062] La figure 2 représente les étapes dans le temps de deux premiers audits de sécurité dans la vie d’un réseau informatique. Sachant que les prochains obéiront à la même logique.Figure 2 shows the stages in time of the first two security audits in the life of a computer network. Knowing that the next will obey the same logic.

[0063] Explications littéraires de la figure 2 :Literary explanations of Figure 2:

- Soit tO le premier audit dans la vie d’un réseau. Tel que : tO = date de début de l’audit ; tl = date de fin de l’audit ; t2 = date d’édition des rapports ; t3 = date de mise en place des correctifs par l’équipe IT ; t4 = date de développement du réseau ; t5 = date du prochain (deuxième) audit ; t6 = date de fin de l’audit ; t7 = date de fin de l’édition des rapports du deuxième audit ; t8 = date de la mise en place des correctifs des deuxièmes rapports d’audit ; t9 = date d’un nouveau développement.- Let tO be the first audit in the life of a network. Such as: tO = start date of the audit; tl = end date of the audit; t2 = date of issue of reports; t3 = date of implementation of the fixes by the IT team; t4 = network development date; t5 = date of the next (second) audit; t6 = date of end of the audit; t7 = end date of the edition of the reports of the second audit; t8 = date of implementation of the corrective measures for the second audit reports; t9 = date of a new development.

[0064] La figure 3 représente les failles de la logique d’audit de sécurité dans le temps considérant à titre d’exemple les deux premiers audits de sécurité dans la vie d’un réseau informatique. Sachant que les prochains obéiront à la même logique et présenteront les mêmes inconvéniants.FIG. 3 shows the flaws in the security audit logic over time, considering by way of example the first two security audits in the life of a computer network. Knowing that the next will obey the same logic and present the same disadvantages.

[0065] Explications littéraires supplémentaires de la figure 3 :Additional literary explanations of Figure 3:

- La logique cyclique de l’audit impose « des intervalles d’espace-temps » entre ce que nous appelons dans cette demande de brevet les événements et les différentes phases de l’audit « durant lesquelles le réseau est vulnérable ».- The cyclical logic of the audit imposes "space-time intervals" between what we call in this patent application the events and the different phases of the audit "during which the network is vulnerable".

- Un intervalle d’espace-temps entre le début de l’audit (que nous appelons tO) et sa fin (que nous appelons tl). L’espace-temps (tO - tl) présente donc un réseau (environnement) vulnérable favorable à l’attaquant.- A space-time interval between the start of the audit (which we call tO) and its end (which we call tl). Space-time (tO - tl) therefore presents a vulnerable network (environment) favorable to the attacker.

- Un intervalle d’espace-temps entre la fin de l’audit (tl) et la date d’édition de rapports (que nous appelons t2) présentant les vulnérabilités trouvées, le(s) correctifs) correspondant(s) à chaque vulnérabilité et les préconisations à appliquer. L’espace-temps (tl -12) présente donc un réseau (environnement) vulnérable favorable à l’attaquant.- A space-time interval between the end of the audit (tl) and the date of publication of reports (which we call t2) presenting the vulnerabilities found, the corrective (s) corresponding to each vulnerability and the recommendations to be applied. Space-time (tl -12) therefore presents a vulnerable network (environment) favorable to the attacker.

- Un intervalle d’espace-temps entre la date d’édition des rapports (t2) et la date de mise en place des correctifs (que nous appelons t3). L’espace-temps (t2 -13) présente donc un réseau (environnement) vulnérable favorable à l’attaquant.- A space-time interval between the date of publication of the reports (t2) and the date of implementation of the patches (which we call t3). Space-time (t2 -13) therefore presents a vulnerable network (environment) favorable to the attacker.

- En outre, toute activité a besoin de se développer, les systèmes d’information étant au service de l’activité et non l’inverse. Or ce développement (développement et implémentation de nouvelles applications internes et/ou externes, nouvelles implémentations sur le réseau, etc.) s’effectuera à une date qu’on appellera (t4) et se traduira d’un point de vue « sécurité des systèmes d’information » par la création de nouvelles (du moins potentielles) vulnérabilités et failles de sécurité.- In addition, all activity needs to develop, information systems serving the activity and not the other way around. However, this development (development and implementation of new internal and / or external applications, new network implementations, etc.) will take place at a date that will be called (t4) and will translate from a “security of information systems ”by creating new (at least potential) vulnerabilities and security breaches.

- Ce(s) développement(s) crée(nt) un nouvel espace temps vulnérable (et donc favorable à l’attaquant) entre la date d’exécution sur le réseau (d’implémentation sur le réseau) de ce(s) développement(s) et « la date de mise en place des correctifs du (des) rapport(s) du (des) prochain(s) audit(s) » qu’on appellera (t8). Sachant (considérant) que la date de début du prochain audit est (t5) ; la date de fin du prochain audit est (t6) et que la date de l’édition du (des) rapport(s) du prochain audit est (t7). Puis un (des) nouveau(x) développement interviendront en (t9), etc.- This (s) development (s) creates (s) a new vulnerable time space (and therefore favorable to the attacker) between the execution date on the network (implementation on the network) of this development (s) (s) and "the date of implementation of the corrective measures for the report (s) of the next audit (s)" which will be called (t8). Knowing (considering) that the start date of the next audit is (t5); the end date of the next audit is (t6) and the date of issue of the report (s) of the next audit is (t7). Then a new development (s) will take place in (t9), etc.

[0066] Par ailleurs, les techniques de piratages évoluent indépendamment des dates des audits. Les dates étant définies par les cibles et non pas par les sociétés de sécurité qui traquent les nouvelles techniques et évolutions et ce pour trois raisons :Furthermore, hacking techniques evolve independently of the dates of the audits. The dates are defined by the targets and not by the security companies that track new techniques and developments for three reasons:

- des raisons de disponibilité des équipes IT chez les cibles (hors périodes de chantiers informatiques, etc.). Les équipes IT préférant généralement, et ce pour des raisons absurdes, être disponibles.- reasons for the availability of IT teams at the targets (excluding periods of IT sites, etc.). IT teams generally prefer, for absurd reasons, to be available.

- des raisons budgétaires et/ou procédure(s) lente(s) de validation de budget(s).- budgetary reasons and / or slow procedure (s) of validation of budget (s).

- les sociétés de sécurité étant rémunérées lors des audits, les cibles doutent parfois de la bonne foi des sociétés de sécurité quand elles évoquent l’urgence de la mise à niveau du réseau face aux nouvelles menaces.- security companies being remunerated during audits, targets sometimes doubt the good faith of security companies when they talk about the urgency of upgrading the network in the face of new threats.

[0067] Ce qui démontre qu’une sécurité SSI obéissante à (basée sur) une logique de sécurité cyclique par audit(s) récurrents (cycliques) crée un environnement (laisse un réseau) souvent vulnérable et donc souvent favorable à l’attaquant et donc souvent propice à la réussite d’une attaque informatique.This demonstrates that SSI security obeying (based on) a cyclical security logic by audit (s) recurring (cyclical) creates an environment (leaves a network) often vulnerable and therefore often favorable to the attacker and therefore often conducive to the success of a computer attack.

[0068] Et ce sont ces intervalles d’espace-temps décrits ci-dessus durant lesquels le (les) réseau(x) est (sont) vulnérable(s) qui permettent à une personne malveillante (attaquant ou dit autrement pirate) d’exploiter avec réussite les vulnérabilités et failles du (des) réseau(x).And it is these space-time intervals described above during which the network (s) is (are) vulnerable (s) which allow an malicious person (attacker or in other words pirate) to successfully exploit vulnerabilities and vulnerabilities in the network (s).

[0069] Exposé de l’invention :Statement of the invention:

Précisons d’abord que dans cette demande de brevet, réseau veut dire : réseau informatique. Et que réseaux veut dire : réseaux informatiques. Et que terminal veut dire : terminal informatique. Et que terminaux veut dire : terminaux informatiques.First of all, in this patent application, network means: computer network. And what networks mean: computer networks. And what terminal means: computer terminal. And what terminals mean: computer terminals.

[0070] Rappel :Reminder:

Les procédés et les logiques de défense antérieures - c’est dire existants à ce jour contre les attaques informatiques qu’elles soient à des fins d’espionnage(s), de sabotage(s) ou de verrouillage(s) contre demande(s) de rançon(s), consistent à défier, avec un (des) réseau(x) « figé(s) » , « statique(s) » et « passif » sécurisé(s) par des capteurs d’activité(s) - de logs - et des règles et équations d’analyse(s) de ces activités (logs) ayant pour objet la détection, l’alerte et le bloquage automatique ou manuel, d’un (des) attaquant(s) intelligent(s), actif(s), dynamique(s) et parfois furtif(s).The previous defense procedures and logics - that is to say existing to date against computer attacks whether for spy (s), sabotage (s) or locking (s) against request (s) ) of ransom (s), consist in challenging, with a network (s) "frozen (s)", "static (s)" and "passive" secured by activity sensors (s) - logs - and analysis rules and equations for these activities (logs) aimed at the detection, alert and automatic or manual blocking of an intelligent attacker (s) ), active (s), dynamic (s) and sometimes stealthy (s).

[0071] Et si l’on inversait la logique sur l’attaquant ? C’est à dire défier l’attaquant par sa propre logique pour annuler son efficacité.What if we reverse the logic on the attacker? In other words, challenge the attacker with his own logic to cancel his effectiveness.

[0072] L’invention consiste en trois Procédés de défense contre les attaques (menaces) informatiques.The invention consists of three methods of defense against computer attacks (threats).

[0073] Un premier Procédé, appelé dans cette demande de brevet Procédé A, qui est un Procédé de défense d’un réseau compréhensible/lisible, statique, figé dans le temps, et passif, contre les attaques (menaces) informatiques.A first method, called in this patent application method A, which is a method of defending an understandable / readable network, static, frozen in time, and passive, against computer attacks (threats).

[0074] Le Procédé A est caractérisé en (à) ce qu’il comporte les étapes suivantes, dont les deux premières sont successives (et notons qu’il est sollicité une protection sur ce qui suit) :Method A is characterized in (to) that it comprises the following stages, the first two of which are successive (and it should be noted that protection is sought for the following):

- L’étape 1) : transformation virtuelle (dit autrement : transformation de l’apparence) d'un réseau compréhensible/lisible par le gonflage (du verbe gonfler) virtuel et/ou la déformation virtuelle d’un (de) réseau(x). La transformation virtuelle (dit autrement : transformation de l’apparence) d'un réseau compréhensible/lisible peut également être réalisée par la création d’un ou plusieurs réseau(x) virtuel(x) par le biais d’un ou plusieurs code(s) informatique(s) pour inclure par la suite un ou plusieurs réseau(x) réel(x) dans un ou plusieurs réseau(x) virtuel(s) crée(s). Et ce, pour empêcher/biaiser une lecture/compréhension efficace faite par une observation (phase 1 de l’attaque) faite par un tiers et rendre ainsi un réseau réel indétectable dans un réseau virtuel et donc illisible/incompréhensible à (pour) son observateur.- Step 1): virtual transformation (in other words: transformation of appearance) of an understandable / readable network by the virtual inflation (of the verb to inflate) and / or the virtual deformation of a network (x ). The virtual transformation (in other words: transformation of the appearance) of an understandable / readable network can also be carried out by the creation of one or more virtual network (s) by means of one or more code ( computer science (s) to subsequently include one or more real network (s) in one or more virtual network (s) created. And this, to prevent / bias an effective reading / understanding made by an observation (phase 1 of the attack) made by a third party and thus make a real network undetectable in a virtual network and therefore illegible / incomprehensible to (for) its observer .

- L’étape 2) : transformation virtuelle (ou dit autrement : transformation de l’apparence) d'un réseau « statique » et « figé dans le temps » en un réseau « virtuellement dynamique et aléatoire dans le temps » (ou dit autrement : dynamique et aléatoire dans le temps en apparence) par la mise en place d’une ou plusieurs configuration(s) changeante(s) et /ou aléatoire(s) dans le temps d’un réseau virtuel (crée et ajouté à un réseau réel - ou dans lequel un (des) réseau(x) réel(s) est (sont) inclut (inclus) -. Et ce, pour rendre un réseau réel indétectable et incompréhensible même via une observation de long terme ou très long terme.- Step 2): virtual transformation (or in other words: transformation of the appearance) of a “static” and “frozen in time” network into a “virtually dynamic and random in time” network (or in other words : apparently dynamic and random over time) by setting up one or more changing and / or random configuration (s) over time of a virtual network (created and added to a network real - or in which a real network (s) is (are) included (included) - and this, to make a real network undetectable and incomprehensible even via long-term or very long-term observation.

- L’étape 3) : transformation de la caractéristique passive d’un réseau « lors du questionnement d’un réseau par un tiers par des requêtes » et/ou d’équipements réseau et/ ou équipements informatiques, en caractéristique passive/active. La transformation de la caractéristique passive d’un réseau qui communique passivement (c’est à dire de manière passive) les vulnérabilités « lors du questionnement par un tiers par des requêtes » est réalisée (s’effectue) par l’émission lors des questionnements (c’est à dire des requêtes) de fausses informations et/ou fausses vulnérabilités et/ou failles par le biais (via) de l’ajout à un réseau d’un ou plusieurs codes informatiques.- Step 3): transformation of the passive characteristic of a network "when questioning a network by a third party by requests" and / or of network equipment and / or IT equipment, into passive / active characteristic. The transformation of the passive characteristic of a network which communicates passively (ie passively) the vulnerabilities “during questioning by a third party by requests” is carried out (is carried out) by the emission during questioning (ie requests) false information and / or false vulnerabilities and / or flaws through (via) the addition to a network of one or more computer codes.

[0075] Avantageusement, dans l’étape 1), la transformation virtuelle et/ou le gonflage virtuel et/ou la déformation virtuelle d’un réseau, c’est à dire aussi la transformation virtuelle et/ou le gonflage virtuel et/ou la déformation virtuelle de l’infrastructure (des infrastructures) d’un réseau ; c’est à dire aussi la transformation virtuelle et/ou le gonflage virtuel et/ou la déformation virtuelle des équipements informatiques d’un réseau, sont réalisés « par le clonage de l’infrastructure informatique » d’un réseau et/ ou « par le clonage des équipements informatiques » tels que et ce à titre d’explication mais non exclusif : les terminaux, les ordinateurs, les serveurs, les imprimantes, les points d’accès wifi, les IP, etc.Advantageously, in step 1), the virtual transformation and / or the virtual inflation and / or the virtual deformation of a network, that is to say also the virtual transformation and / or the virtual inflation and / or the virtual deformation of the infrastructure (infrastructures) of a network; that is to say also the virtual transformation and / or the virtual inflation and / or the virtual deformation of the computer equipment of a network, are carried out "by the cloning of the IT infrastructure" of a network and / or "by the cloning of IT equipment ”such as and this by way of explanation but not exclusive: terminals, computers, servers, printers, wifi access points, IPs, etc.

[0076] Avantageusement, dans l’étape 1), la transformation virtuelle et/ou le gonflage virtuel et/ou la déformation virtuelle d’un réseau (c’est à dire transformer et/ou déformer et/ou gonfler virtuellement un réseau) par le clonage de l’infrastructure et des équipements informatiques s’effectue(nt) - est (sont) réalisée (s) - par la création de X clones pour chaque équipement informatique ou dit autrement pour chacun des équipements informatiques. Notons que X signifie une variable constituant un nombre variable selon le choix de configuration ultérieur de l’utilisateur du Procédé A.Advantageously, in step 1), the virtual transformation and / or the virtual inflation and / or the virtual deformation of a network (that is to say transform and / or deform and / or virtually inflate a network) by cloning the IT infrastructure and equipment is done - is (are) done - by the creation of X clones for each IT equipment or in other words for each IT equipment. Note that X means a variable constituting a variable number according to the choice of subsequent configuration of the user of Method A.

[0077] Avantageusement, après l’étape 1) de gonflage, de déformation et d’amplification et/ ou de création d’un ou plusieurs réseau(x) virtuel(s) par le biais d’un ou plusieurs code(s) informatique(s) pour inclure par la suite un ou plusieurs réseau(x) réel(x) dans un ou plusieurs réseau(x) virtuel(s) crée(s) par un (des) codes(s) informatique(s) ou par le clonage d’un (de) réseau) / clonage de (des) infrastructure(s) / clonage des équipements d’un (de) reseau(x), est réalisée une étape de création et d’installation de « Mines » sur les clones et/ou sur le(s) réseau(x) virtuel(x) crées par un (des) code(s) informatique(s) et qui englobe(nt) un (des) réseau(x) réel(s).Advantageously, after step 1) of inflation, deformation and amplification and / or creation of one or more virtual network (s) by means of one or more code (s) computer (s) to subsequently include one or more real network (s) in one or more virtual network (s) created by one (or more) computer code (s) or by cloning a (of) network / cloning of (s) infrastructure (s) / cloning of equipment of (a) network (s), a step of creation and installation of "Mines" is carried out on the clones and / or on the virtual network (s) created by a computer code (s) and which includes (s) a real network (s) ).

[0078] Les Mines sont des « vraies » adresses IP vacantes (points d’accroches recherchés par les attaquants) et des vraies vulnérabilités laissées sciamment et installées sur les Clones et/ou sur le(s) réseau(x) virtuel(s). Les IP vacantes sont dotées de (reliées à des) capteurs (intercepteurs) pour identifier un accrochage illégitime et reliée(s) au(x) système(s) d’alerte(s). Les vulnérabilités sur les Clones et/ou le(s) réseau(x) virtuel(s) servent également à inciter une exploitation dessus pour identifier une attaque et générer une alerte. Etant sur des Clones, elles jouent le rôle de « postes virtuels avancés de sécurité ». L’exploitation ne générant pas de dommages à la différence d’une exploitation touchant le réseau réel, qui même si elle est interceptée, elle a déjà fait (effectuée) le (les) dommage(s) /résultat(s) voulu(s).Mines are "real" vacant IP addresses (hooking points sought by attackers) and real vulnerabilities left sciamently and installed on the Clones and / or on the virtual network (s) . Vacant PIs are equipped with (linked to) sensors (interceptors) to identify an illegitimate collision and linked to the alert system (s). The vulnerabilities on the Clones and / or the virtual network (s) are also used to incite exploitation on them to identify an attack and generate an alert. Being on Clones, they play the role of "advanced virtual security stations". The operation does not generate damage unlike an operation affecting the real network, which even if it is intercepted, it has already done (the) damage (s) / desired result (s) ).

[0079] La différence qui caractérise l’innovation par rapport aux pots de miel classiques sur un réseau, c’est d’une part « la présence des mines sur des Clones » et/ou sur un (des) réseau(x) virtuel(s) avec les avantages cités ci-dessus. Et d’autre part, la possibilité de mettre en place pour la première fois au delà des pots de miels classiques c’est à dire des adresses IP vacantes avec capteurs, des vulnérabilités (failles). Les vulnérabilités (failles) sur les Clones et/ou sur un (des) réseau(x) virtuel(s) crées pour englober un (des) réseau(x) réel(s) incite(nt) à l’exploitation et ce sans dommage et donc sans risques pour un (des) réseau(x) réel(s).The difference that characterizes innovation compared to conventional honey pots on a network is on the one hand "the presence of mines on Clones" and / or on one (or more) virtual network (s) (s) with the advantages mentioned above. On the other hand, the possibility of setting up for the first time beyond conventional honey pots, that is to say vacant IP addresses with sensors, vulnerabilities (flaws). The vulnerabilities (flaws) on the Clones and / or on a virtual network (s) created to include a real network (s) incite exploitation without damage and therefore without risk for a real network (s).

[0080] Notons également que l’exploitation d’une Mine génère une alerte mais surtout avec une probabilité de réussite configurable en amont et donc quasi nulle si souhaité et donc une probabilité d’alerte et de détection « sans aucun dommage » très très élevée et donc une alerte et une detection avec possibilité de bloquage automatique quasi systématique(s). L’attaquant est ainsi face à une sorte de roulette russe avec une probabilité de réussite quasi nulle car configurable (maîtrisable) par la cible en amont.Note also that the operation of a Mine generates an alert but above all with a configurable probability of success upstream and therefore almost zero if desired and therefore a very high probability of alert and detection "without any damage" and therefore an alert and detection with the possibility of almost systematic automatic blocking. The attacker is thus faced with a kind of Russian roulette with an almost zero probability of success because configurable (controllable) by the target upstream.

[0081] Et en ce que l’étape 1) comporte en outre une sous étape al) :And in that step 1) further includes a sub-step al):

- La sous étape al) étant une génération et/ou un maintien d’une activité virtuelle dans un réseau gonflé et déformé ; que nous pouvons également appelée une amplification virtuelle de l’activité (appelée aussi le trafic) d’un réseau réel et/ou virtuel crée par Clonage ou par code(s) informatique(s). La génération et/ou le maintien par le biais d’un ou plusieurs code(s) informatique(s) d’une activité (d’activités) virtuelle(s) et /ou l’amplification virtuelle de l’activité d’un réseau ont pour rôle de créer et/ou maintenir une (des) activité(s) virtuelles et/ou d’amplifier l’activité d’un réseau en créant et en générant une (des) activité(s) virtuelle(s) - supplémentaire(s) - ou dit autrement un (des) trafic(s) virtuel(s) -supplémentaire(s) - sur (dans) les Clones et équipements Clonés ou dans les réseaux virtuels crées par code(s) informatique(s), pour empêcher la distinction (l’identification) des Clones et équipements Clonés et/ou pour empecher la distinction (l’identification) d’un réseau virtuel par la non présence d’activité(s). La sous étape al) permet ainsi de biaiser les phases 1 et 2 d’une attaque telles que décrites dans la figure 1 de cette demande de brevet, à savoir l’observation et l’écoute d’un réseau. Et ce pour biaiser le jugement (l’analyse) par l’observation et l’écoute.- Sub step al) being a generation and / or maintenance of a virtual activity in an inflated and deformed network; which we can also call a virtual amplification of the activity (also called traffic) of a real and / or virtual network created by Cloning or by computer code (s). The generation and / or maintenance by means of one or more computer code (s) of a virtual activity (activities) and / or the virtual amplification of the activity of a network have the role of creating and / or maintaining a virtual activity (ies) and / or of amplifying the activity of a network by creating and generating a virtual activity (ies) - additional (s) - or in other words virtual (s) traffic (s) - additional (s) - on (in) Clones and Cloned equipment or in virtual networks created by computer code (s) , to prevent the distinction (identification) of Clones and Cloned equipment and / or to prevent the distinction (identification) of a virtual network by the absence of activity (s). Sub step a1) thus makes it possible to bias phases 1 and 2 of an attack as described in FIG. 1 of this patent application, namely the observation and listening of a network. And this to bias judgment (analysis) by observation and listening.

[0082] Et en ce que l’étape 3) comporte en outre une sous étape a3) :And in that step 3) also includes a sub-step a3):

- L’étape a3) est caractérisée par « le brouillage » , « le biaisage » des résultats des questionnements du réseau et/ou des équipements informatiques par des requêtes et « le brouillage » , « le biaisage » des résultats des scanners de vulnérabilités (outils de Scan de vulnérabilités de réseau et/ou d’équipements réseau et/ou équipements informatiques).- Step a3) is characterized by "scrambling", "biasing" the results of questions from the network and / or IT equipment by requests and "scrambling", "biasing" the results of vulnerability scanners ( Network and / or network equipment and / or IT equipment vulnerability scan tools).

[0083] Avantageusement, dans l’étape a3), le brouillage (le biaisage) des résultats est réalisé « par saturation / par noyade », c’est à dire « par une émission (des émissions) » lors des questionnements d’un réseau, d’un nombre (que nous préconisons elevé) de « fausses informations » et/ou « fausses vulnérabilités ». Et ce, pour « saturer les résultats des questionnements (les réponses) » et « noyer les vraies réponses (résultats) dans une très grande quantité de fausses réponses (résultats) ».Advantageously, in step a3), the scrambling (biasing) of the results is carried out "by saturation / by drowning", that is to say "by an emission (emissions)" during the questioning of a network, a number (which we recommend high) of "false information" and / or "false vulnerabilities". And this, to "saturate the results of the questions (the answers)" and "drown the real answers (results) in a very large quantity of false answers (results)".

[0084] Explication supplémentaire :Additional explanation:

Brouiller les résultats (le brouillage des résultats) des tentatives (des démarches) de questionnement et/ou du questionnement du (des) réseau(x) par ce qu’on appelle des requêtes par l’émission d’un très grand nombre de fausses vulnérabilités (faux résultats) qui viendront s’ajouter aux vraies vulnérabilités (vrais résultats) pour rendre les réponses d’un réseau sur les vulnérabilités et failles présentes sur le réseau au moment du (des) questionnement(s) inexploitables.Blur the results (the scrambling of the results) of the attempts (approaches) to questioning and / or the questioning of the network (s) by what are called requests by the emission of a very large number of false vulnerabilities (false results) which will be added to the real vulnerabilities (real results) to make the responses of a network on the vulnerabilities and faults present on the network at the time of the questioning (s) unusable.

[0085] Car pour pouvoir empêcher un pirate (une personne malveillante) « d’interroger » de manière « efficace » (ou dit autrement efficacement) et de manière « exploitable » un (des)réseau(x)il faut :Because to be able to prevent a hacker (a malicious person) from "interrogating" in an "effective" (or in other words, effectively) and in an "exploitable" manner, one or more networks must be:

- Soit, empêcher le réseau de parler (de répondre, de communiquer avec le pirate). Ce qui est impossible à ce jour.- Or, prevent the network from talking (responding, communicating with the hacker). Which is impossible to date.

- Soit, par l’innovation « du brouilleur de requêtes par saturation / noyade » que nous appelons aussi « brouilleur de scanner par saturation / noyade). C’est à dire, répondre (en répondant) aux requêtes / questionnements et/ou aux scanners avec tellement (dire tellement) de fausses informations pour noyer les vraies réponses (résultats) dans une mer de fausses réponses (faux résultats).- Or, by the innovation of the “saturation / drowning request jammer” which we also call “saturation / drowning scanner jammer). That is to say, responding (by responding) to queries / questions and / or scanners with so much (say so) of false information to drown out the real answers (results) in a sea of false answers (false results).

[0086] Ainsi, le brouillage actif de requêtes et/ou scanners par saturation (par noyade) par l’émission à chaque requête de scanner (à chaque questionnement manuel ou automatisé) qui interroge le réseau, un nombre très important de fausses vulnérabilités qui viendront s’ajouter aux « vraies » vulnérabilités dans les résultats (réponses) aux requêtes et/ou dans les résultats (réponses) des scanners (des logiciels de Scan). Le brouillage permet ainsi de noyer les « vraies » vulnérabilités dans une mer de « fausses » vulnérabilités.Thus, the active jamming of requests and / or scanners by saturation (by drowning) by the emission on each request for a scanner (at each manual or automated questioning) which interrogates the network, a very large number of false vulnerabilities which will be added to the "real" vulnerabilities in the results (responses) to requests and / or in the results (responses) of scanners (Scan software). Interference thus drowns out “real” vulnerabilities in a sea of “fake” vulnerabilities.

[0087] Ce brouillage permet une stratégie de défense par noyade / saturation qu’on peut appeler également stratégie de couverture par noyade. Cette technique ampute l’attaquant de « la capacité à analyser et exploiter efficacement » les réponses recueillies et/ou les données relevées par ses questionnements (ses requêtes) et/ou son (ses) logiciels de scan (scanners de vulnérabilités). Car l’attaquant ne sera tout simplement plus en mesure de savoir laquelle (lesquelles) des vulnérabilités (réponses) receuillie(s) est (sont) vraie(s) et laquelle (lesquelles) est (sont) une (des) fausse(s) pour savoir laquelle (lesquelles) exploiter.This scrambling allows a drowning / saturation defense strategy that can also be called drowning coverage strategy. This technique reduces the attacker's "ability to analyze and exploit effectively" the responses collected and / or the data raised by his questions (his requests) and / or his (her) scan software (vulnerability scanners). Because the attacker will simply no longer be able to know which (which) of the vulnerabilities (responses) collected (s) is (are) true (s) and which (which) is (are) one (of) false (s) ) to find out which one (s) to use.

[0088] Important :Important:

Le pourcentage de « fausses » vulnérabilités (réponses) émises étant « configurable en amont » par la cible permet d’obtenir mathématiquement une (la) probabilité mathématique souhaitée de réussite / échec de l’exploitation (des exploitations).The percentage of “false” vulnerabilities (responses) issued being “configurable upstream” by the target makes it possible to obtain mathematically a (the) desired mathematical probability of success / failure of the exploitation (of the exploitations).

[0089] En outre, plus on augmente le nombre de « fausses » vulnérabilités (réponses) dans les réponses à la (aux) requête(s) et/ou dans le(s) résultat(s) des scanners (c’est à dire les logiciels de Scan de vulnérabilités), plus on réduit mathématiquement la probabilité de réussite et donc la chance de réussite pour un attaquant. En émettant un très grand nombre de « fausses » vulnérabilités (réponses) proportionnellement aux « vraies » qu’on peut estimer naturellement en amont - on peut arriver à une probabilité (chance) de réussite quasi nulle pour un attaquant.In addition, the more the number of “false” vulnerabilities (responses) is increased in the responses to the request (s) and / or in the result (s) of the scanners (this is to say Vulnerability Scan software), the more you mathematically reduce the probability of success and therefore the chance of success for an attacker. By issuing a very large number of “false” vulnerabilities (responses) in proportion to the “true” ones that one can naturally estimate upstream - one can arrive at an almost zero probability (chance) of success for an attacker.

[0090] Avantageusement, dans l’étape a3), le brouillage par saturation / par noyade est réalisé par l’émission d’un grand nombre de fausses informations / réponses (vulnérabilités) concernant un réseau et les équipements associés à un réseau par le biais de l’ajout d’un ou plusieurs code(s) informatique(s) programmés pour émettre un grand nombre de fausses informations (vulnérabilités) à chaque requête reçus par un réseau.Advantageously, in step a3), the jamming by saturation / by drowning is carried out by the emission of a large number of false information / responses (vulnerabilities) concerning a network and the equipment associated with a network by the through the addition of one or more computer code (s) programmed to send a large number of false information (vulnerabilities) to each request received by a network.

[0091] Avantageusement, dans l’étape a3) le brouillage par saturation / par noyade peut être réalisé également par l’émission de manière aléatoire à chaque requête d’un grand nombre de fausses informations (vulnérabilités) concernant un réseau et les équipements associés à un réseau. C’est à dire par l’ajout au(x) code(s) informatique(s) d’un (ou plusieurs) algorithme(s) qui modifie(nt) de manière aléatoire les fausses vulnérabilités à émettre.Advantageously, in step a3) the jamming by saturation / by drowning can also be carried out by the emission in a random manner at each request of a large number of false information (vulnerabilities) concerning a network and the associated equipment. to a network. That is to say by adding to the computer code (s) one (or more) algorithm (s) which randomly modify the false vulnerabilities to be issued.

[0092] Avantageusement, dans l’étape a3) « le brouillage par saturation / par noyade peut être également réalisé par l’ajout d’un grand nombre de fausses vulnérabilités et/ou failles dans un (des) réseau(x) virtuel(s) crée(s) par clonage ou par code(s) informatique(s) pour englober un (des) réseau(x) réels. L’émission de fausses vulnérabilités (réponses) est dans ce cas systématique par effet mécanique de l’ajout des fausse(s) vulnérabilités / failles dans (sur) un (des) réseau(x) virtuel(s) qui englobe(nt) un (des) réseau(x) réel(s). Dans ce cas, l’émission de manière aléatoire est également possible par le biais de l’ajout d’un (ou plusieurs) algorithme(s) qui modifie(nt) de manière aléatoire les fausses vulnérabilités /failles ajoutées et leurs emplacements dans un (des) réseau(x) virtuel(s) qui englobe(nt) un (des) réseau(x) réel(s).Advantageously, in step a3) “the jamming by saturation / by drowning can also be achieved by adding a large number of false vulnerabilities and / or faults in one (of) virtual network (s) ( s) created by cloning or by computer code (s) to include a real network (s). The issue of false vulnerabilities (responses) is in this case systematic by mechanical effect of the addition of false vulnerabilities / faults in (on) one (or more) virtual network (s) which includes (s) one (or more) real network (s). In this case, issuing randomly is also possible through the addition of one (or more) algorithm (s) that randomly modify (s) the false vulnerabilities / vulnerabilities added and their locations in a (of) virtual network (s) which includes (s) a real network (s).

[0093] Un autre objet de l’invention est un dispositif de réalisation de défense contre les attaques informatiques qui met en oeuvre le Procédé A (sur la base du Procédé A), consistant en trois produits programmes d’ordinateurs.Another object of the invention is a device for defense against computer attacks which implements Method A (on the basis of Method A), consisting of three computer program products.

[0094] Le produit programme d’ordinateur appelé produit programme d’ordinateur 1 dans cette demande de brevet est :The computer program product called computer program product 1 in this patent application is:

- Le Transformateur/Gonfleur/Déformateur virtuel d’un réseau informatique (de réseaux informatiques) par Clonage.- The Virtual Transformer / Inflator / Deformer of a computer network (of computer networks) by Cloning.

[0095] La transformation virtuelle / gonflage virtuel / déformation virtuelle d’un réseau par clonage, c’est à dire aussi la transformation virtuelle / gonflage virtuel / déformation virtuelle de l’infrastructure (des infrastructures) d’un réseau et c’est à dire aussi la transformation virtuelle / gonflage virtuel / déformation virtuelle des équipements informatiques d’un réseau, est (sont) réalisé(s) « par le clonage de l’infrastructure » d’un réseau et « des équipements informatiques d’un réseau» tels que et ce à titre d’explication mais non exclusif : les terminaux, les ordinateurs, les serveurs, les imprimantes, les points d’accès wifi, les IP, etc.The virtual transformation / virtual inflation / virtual deformation of a network by cloning, that is to say also the virtual transformation / virtual inflation / virtual deformation of the infrastructure (infrastructures) of a network and it is also to say the virtual transformation / virtual inflation / virtual deformation of the computer equipment of a network, is (are) carried out "by cloning the infrastructure" of a network and "computer equipment of a network »As and by way of explanation but not exclusive: terminals, computers, servers, printers, wifi access points, IPs, etc.

[0096] Les clones gonflent virtuellement un réseau (et son apparence) et déforment ainsi l’infrastructure du (des) réseau(x) et biaisent l’observation de celui (ceux) qui tente(nt) de l’observer (les observer) ou dit autrement celui (ceux) qui l’observe(nt) (les observant). C’est à dire reflètent une (des) fausse(s) image(s) d’un (des) réseau(x) réel(s).The clones virtually inflate a network (and its appearance) and thus deform the infrastructure of the network (s) and bias the observation of the one (those) who are trying to observe it (observe them ) or in other words the one (those) who observes it (observing them). That is to say reflect a false image (s) of a real network (s).

[0097] L’observation étant également substituable par des logiciels de cartographie(s) de réseau(x) qui proposent l’automatisation de cette tache (phase) et dressent en quelques minutes une (des) cartographie(s) du (des) réseau(x) et de l’infrastructure (des infrastructures) et équipements (les IP reliés à un réseau ou dit autrement les IP relatives à un réseau par exemple), le gonfleur et déformateur virtuel biaise également le(s) résultat(s) de ces logiciels qui dresseront une (des) cartographie(s) remplie(s) de Clones. Ou dit autrement, ces logiciels incluront dans leur(s) résultat(s) et donc dans leur(s) cartographie(s) les Clones.The observation is also substitutable by network mapping software (s) which propose the automation of this task (phase) and draw up in a few minutes one (or more) mapping (s) of the (the) network (s) and infrastructure (infrastructures) and equipment (the IPs connected to a network or in other words the IPs relating to a network for example), the virtual inflator and deformer also biases the result (s) of this software which will draw up a map (s) filled with Clones. Or put another way, these software will include in their result (s) and therefore in their (s) mapping (s) Clones.

[0098] La transformation virtuelle et/ou le gonflage virtuel et/ou la déformation virtuelle d’un réseau (c’est à dire transformer et/ou déformer et/ou gonfler virtuellement un réseau) par le clonage de l’infrastructure et des équipements informatiques s’effectue(nt) - est (sont) réalisé(s) - par la création de X clones pour chaque équipement informatique (ou pour une partie des équipements informatiques) ou dit autrement par la creation de X Clones pour chacun (ou une partie) des équipements informatiques. Notons que X signifie une variable constituant un nombre variable selon un choix de configuration ultérieur de l’utilisateur du Procédé A.Virtual transformation and / or virtual inflation and / or virtual deformation of a network (that is to say transform and / or deform and / or virtually inflate a network) by cloning the infrastructure and IT equipment is (are) - is (are) made (s) - by the creation of X clones for each IT equipment (or for part of the IT equipment) or in other words by the creation of X Clones for each (or part) of IT equipment. Note that X signifies a variable constituting a variable number according to a choice of subsequent configuration by the user of Method A.

[0099] Une fois la transformation/deformation/gonflage par Clonage faite / fait, un (des) module(s) permet(tent) une modification de la (des) configuration(s) des Clones et du (des) nouveau(x) réseau(x) virtuel(s).Once the transformation / deformation / inflation by Cloning done / done, one (of) module (s) allows (tent) a modification of (the) configuration (s) of the Clones and of (the) new (x) ) virtual network (s).

[0100] Le(s) fabriquant(s) livre(nt) une première version avec une première configuration. Par la suite le(s) fabriquant(s) procède(nt) à une formation de l’utilisateur (du personnel de l’utilisateur) pour la reconfiguration manuelle (simple d’ailleurs) c’est à dire pour apprendre à l’utilisateur comment changer la configuration manuellement. Ainsi qu’une formation pour la mise en place d’une configuration changeante automatiquement sur la base d’un algorithme (d’algorithme) dont la construction est faite par le client dans les modules de gestion des programmes. C’est à dire comment mettre en place une configuration changeante automatiquement sur des bases choisies par l’utilisateur. Par la suite le fabriquant ne sera plus en mesure de savoir quelle(s) est (sont) la (les) configuration(s) mise en place chez son (ses) client(s).The manufacturer (s) deliver (s) a first version with a first configuration. Thereafter the (s) manufacturer (s) proceeds (s) to training the user (user personnel) for manual reconfiguration (simple by the way) that is to learn to user how to change the configuration manually. As well as training for setting up a automatically changing configuration on the basis of an algorithm (algorithm), the construction of which is made by the client in the program management modules. That is to say how to set up a changing configuration automatically on bases chosen by the user. Thereafter the manufacturer will no longer be able to know what (s) is (are) the configuration (s) set up with his (her) client (s).

[0101] Pour une sécurité maximale, nous préconisons :For maximum security, we recommend:

- soit, un changement des configurations manuellement quotidiennement.- or, a change of configurations manually daily.

- soit, pour plus de confort, c’est à dire pour ne pas avoir à changer tous les jours manuellement les configurations, nous préconisons la mise en place d’un changement de configurations quotidien automatique mais de changer les algorithmes des changements de configurations aléatoires régulièrement ; c’est à dire de changer les règles des changements aléatoires manuellement régulièrement. Cette deuxième possibilité offre en plus du confort, une sécurité même vis-à-vis du personnel qui configure les programmes en interne. Car il (le personnel) ne sera pas en mesure de savoir le choix aléatoire des algorithmes.- or, for more comfort, that is to say not to have to manually change the configurations every day, we recommend the implementation of an automatic daily configuration change but to change the algorithms of the random configuration changes regularly; that is to say to change the rules of random changes manually regularly. This second possibility offers, in addition to comfort, security even vis-à-vis the personnel who configure the programs internally. Because he (the staff) will not be able to know the random choice of algorithms.

[0102] Le produit programme d’ordinateur appelé produit programme d’ordinateur 2 dans cette demande de brevet est :The computer program product called computer program product 2 in this patent application is:

- Le générateur/stabilisateur d’activité(s) informatique(s) virtuelle(s) et amplificateur virtuel d’activité(s) informatique(s) - de trafic(s) informatique(s).- The generator / stabilizer of virtual IT activity (ies) and virtual amplifier of IT activity (ies) - of IT traffic (s).

[0103] Le Générateur/stabiliseur d’activité(s) informatique(s) Virtuelle(s) et Amplificateur virtuel d’activité(s) informatique(s) analyse d’abord l’activité réelle et le trafic réel d’un réseau réel pour décortiquer, analyser et mémoriser l’activité (les activités) d’un réseau réel, puis créer (générer) et maintenir une (des) activité(s) et un (des) trafic(s) virtuel(s) « similaire(s) » ou dit autrement identique(s) à celui (ceux) d’un (des) réseau(x) réels ; et à ceux des équipements réels et donc à l’infrastructure (aux infrastructures) réelle(s).The Generator / Stabilizer of Virtual Computer Activity (s) and Virtual Amplifier of Computer Activity (s) first analyzes the real activity and real traffic of a network real to dissect, analyze and memorize the activity (activities) of a real network, then create (generate) and maintain an activity (ies) and virtual traffic (s) "similar" (s) ”or said otherwise identical (s) to that (those) of a real network (s); and to those of real equipment and therefore to real infrastructure.

[0104] Toutefois, l’activité (les activités) et le trafic (les trafics) du réseau (des réseaux) de chaque cible étant différent et présentant donc des particularités (spécificités) propres à la cible et dépendantes de sa taille, de son activité informatique habituelle, de son activité dans le sens large c’est à dire commercial, de ses horaires de travail, de l’effectif des utilisateurs, etc. ; il est préférable que le trafic (l’activité des clones par exemple en cas de clonage) soit identique et propre au(x) réseau(x) réel(s) de l’utilisateur pour que les l’activités virtuelle(s) (des Clones par exemple en cas de clonage) soient vraisemblables à celles des équipements réels et à celle(s) de l’infrastructure (des infrastructures) réelle(s). Et que le (les) trafic(s) virtuel(s) considèrent des spécificités relatives à l’utilisateur du Procédé A décrit ci-dessus à savoir, sa taille, son activité informatique - sur le(s) réseau(x) - habituelle et celles des utilisateurs de son (ses) réseau(x), son activité au sens large c’est à dire commercial, ses horaires de travail, l’effectif des utilisateurs, etc.However, the activity (activities) and traffic (traffic) of the network (networks) of each target being different and therefore having particularities (specifics) specific to the target and dependent on its size, its usual IT activity, its activity in the broad sense, ie commercial, its working hours, the number of users, etc. ; it is preferable that the traffic (the activity of the clones for example in the event of cloning) is identical and specific to the real network (s) of the user so that the virtual activity (ies) ( Clones, for example in the event of cloning) are likely to be those of real equipment and that (s) of real infrastructure (infrastructure). And that the virtual traffic (s) consider specificities relating to the user of Method A described above, namely, his usual size, his computer activity - on the network (s) - and those of the users of its network (s), its activity in the broad sense, that is to say commercial, its working hours, the number of users, etc.

[0105] Le produit programme d’ordinateur appelé produit programme d’ordinateur 3 dans cette demande de brevet est le :The computer program product called computer program product 3 in this patent application is:

- Brouilleur actif de scanner de vulnérabilités de réseau(x) et équipement(s) informatique(s) par saturation/noyade.- Active jammer of network vulnerabilities scanner (s) and computer equipment (s) by saturation / drowning.

[0106] Le Brouilleur actif de scanner de vulnérabilités de réseau(x) et équipement(s) informatique(s) par saturation/noyade ou dit autrement le brouilleur (actif) de questionnements) manuel(s) ou automatisé(s) de réseau - ou dit autrement le brouilleur (actif) de requêtes manuelle(s) ou automatisée(s) envoyées sur un (des) réseau(x) - ou dit autrement le brouilleur actif de scanner(s) de vulnérabilité(s) - ou dit autrement le brouilleur actif des logiciels de questionnement de réseau et de recueil de vulnérabilité(s) - par saturation / noyade émet (de verbe émettre - c’est à dire a pour rôle l’émission) à chaque (lors de chaque) questionnement - dit autrement à chaque (lors de chaque) requête envoyée sur un (des) réseau(x) manuellement ou via des logiciels spécialisés, d’un nombre (très élevé de préférence) de « fausses » vulnérabilités (réponses) qui viendront s’ajouter aux résultats de la (des) requête(s) et/ou des scanners (logiciels de Scan).[0106] The active jammer for scanning network vulnerabilities (x) and computer equipment (s) by saturation / drowning or in other words the (active) jammer for questions) manual or automated network (s) - or in other words the jammer (active) of manual or automated requests sent on a network (s) - or in other words the active jammer of vulnerability scanner (s) - or says otherwise, the active jammer of network interrogation and vulnerability collection software (s) - by saturation / drowning emits (verb emit - that is, has the role of emission) each time (during each questioning) - in other words, each (during each) request sent to a network (s) manually or via specialized software, of a (very high preferably) number of “false” vulnerabilities (responses) which will be added the results of the request (s) and / or scanners (Scan software).

[0107] Le brouilleur permet de doter la cible d’une défense (stratégie de défense) par saturation ou dit autrement par noyade.The jammer provides the target with a defense (defense strategy) by saturation or in other words by drowning.

[0108] Car, pour pouvoir empêcher un pirate (une personne malveillante) « d’interroger » de manière « efficace » (ou dit autrement efficacement) et de manière « exploitable » un (des)réseau(x)il faut :Because, to be able to prevent a hacker (a malicious person) from "interrogating" in an "effective" (or in other words, effectively) and in an "exploitable" manner, one or more networks must be:

- soit, empêcher le réseau de parler (de répondre, de communiquer avec le pirate). Ce qui est impossible à ce jour.- or, prevent the network from speaking (responding, communicating with the hacker). Which is impossible to date.

- soit, par l’innovation du brouilleur par saturation / noyade, répondre avec tellement (dire tellement) de fausses informations (réponses) pour noyer les vraies réponses (résultats) dans une mer de fausses réponses (faux résultats).- or, by the innovation of the jammer by saturation / drowning, responding with so much (saying so much) false information (answers) to drown the real answers (results) in a sea of false answers (false results).

[0109] Ainsi, le brouillage actif de scanner par saturation (par noyade) par l’émission à chaque requête de scanner (à chaque questionnement manuel ou automatisé) qui interroge un réseau, d’un nombre (très important de préférence) de « fausses » vulnérabilités qui viendront s’ajouter aux « vraies » vulnérabilités dans les résultats (réponses) aux requêtes et/ou dans les résultats (réponses) des logiciels de Scan, permet de noyer les « vraies » vulnérabilités dans une mer de « fausses » vulnérabilités / failles.Thus, the active jamming of the scanner by saturation (by drowning) by the transmission to each scanner request (each manual or automated questioning) which interrogates a network, of a number (very important preferably) of " false "vulnerabilities which will be added to the" real "vulnerabilities in the results (responses) to the requests and / or in the results (responses) of the Scan software, allows to drown the" real "vulnerabilities in a sea of" false " vulnerabilities / flaws.

[0110] Ce brouillage permet une stratégie de défense par noyade / saturation qu’on peut appeler également stratégie de couverture par noyade qui ampute l’attaquant de la capacité à analyser et exploiter efficacement les réponses recueillies par sa (ses) requête(s) manuelle(s) et/ou les données relevées par son (ses) logiciels de scan de vulnérabilités (de scan de réseau informatique). Car l’attaquant ne sera tout simplement plus en mesure de savoir laquelle (lesquelles) des vulnérabilités / failles / résultats est (sont) vraie(s) et laquelle (lesquelles) est (sont) une (des) fausse(s) pour savoir laquelle (lesquelles) exploiter.This scrambling allows a drowning / saturation defense strategy which can also be called drowning hedging strategy which reduces the attacker's ability to analyze and effectively use the responses collected by his request (s) manual (s) and / or the data raised by its vulnerability scan software (computer network scan). Because the attacker will simply no longer be able to know which (which) of vulnerabilities / flaws / results is (are) true and which (which) is (are) one (of) false (s) to know which one (s) to exploit.

[OUI] Important:[YES] Important:

Le pourcentage de « fausses » vulnérabilités / fausses réponses émises étant « configurable en amont » par la cible permet d’obtenir mathématiquement une (la) probabilité mathématique souhaitée de réussite / échec de l’exploitation (des exploitations).The percentage of "false" vulnerabilities / false responses issued being "configurable upstream" by the target makes it possible to mathematically obtain a (the) desired mathematical probability of success / failure of the exploitation (of the exploitations).

[0112] En outre, plus on augmente le nombre de « fausses » vulnérabilités / failles / réponses dans les réponses à la (aux) requête(s) et/ou dans le(s) résultat(s) des scanners (c’est à dire les logiciels de Scan de vulnérabilités), plus on réduit mathématiquement la probabilité de réussite et donc la chance de réussite pour un attaquant. En émettant un très grand nombre de « fausses » vulnérabilités / réponses proportionnellement aux « vraies » - qu’on peut naturellement estimer en amont - on peut arriver à une probabilité (chance) de réussite quasi nulle pour un attaquant.In addition, the more the number of “false” vulnerabilities / flaws / responses is increased in the responses to the request (s) and / or in the result (s) of the scanners (this is ie Vulnerability Scan software), the more you mathematically reduce the probability of success and therefore the chance of success for an attacker. By issuing a very large number of “false” vulnerabilities / responses in proportion to the “true” ones - which one can naturally estimate upstream - one can arrive at an almost zero probability (chance) of success for an attacker.

[0113] Le brouilleur actif de scanner de vulnérabilités de réseau(x) et équipement(s) informatique(s) par saturation/noyade est également caractérisé par l’existence - c’est à dire dispose d’ (de) - c’est à dire propose, offre à son utilisateur - un (des) module(s) permettant à l’utilisateur la mise en place d’un algorithme d’émission(s) de fausses vulnérabilités / réponses aléatoires (de manière aléatoire) dans le temps. C’est à dire sur la base de règles changeantes et aléatoires dans le temps.The active jammer of network vulnerability scanner (s) and computer equipment (s) by saturation / drowning is also characterized by the existence - that is to say has (of) - it is to say offers, offers to its user - one (of) module (s) allowing the user to set up an algorithm of emission (s) of false vulnerabilities / random responses (randomly) in the time. That is to say on the basis of changing and random rules over time.

[0114] Le brouilleur actif de scanner de vulnérabilités de réseau(x) et équipement(s) informatique(s) par saturation/noyade est également caractérisé par l’existence - c’est à dire dispose d’un (de) - c’est à dire propose, offre à son utilisateur un (des) - module(s) permettant à l’utilisateur le changement de l’algorithme d’émission de fausse vulnérabilités (réponses) aléatoires (de manière aléatoire).The active jammer for scanning network vulnerabilities (x) and computer equipment (s) by saturation / drowning is also characterized by the existence - that is to say has (a) - c 'is to say offers, offers its user one (or more) - module (s) allowing the user to change the algorithm for issuing false false vulnerabilities (responses) randomly.

[0115] Le(s) fabriquant(s) livre(nt) une première version avec une première configuration. Par la suite le(s) fabriquant(s) procède(nt) à une formation de l’utilisateur (du personnel de l’utilisateur) pour la reconfiguration manuelle (simple d’ailleurs) c’est à dire pour apprendre à l’utilisateur comment changer la configuration manuellement. Et une formation pour la mise en place d’une configuration changeante automatiquement sur la base d’un ou plusieurs algorithme(s) dont la construction (gestion de construction) est faite par le client dans les modules de gestion des programmes. C’est à dire une formation pour apprendre à l’utilisateur comment mettre en place une configuration changeante automatiquement sur des bases de son choix. Par la suite le fabriquant ne sera plus en mesure de savoir quelle(s) est (sont) la (les) configuration(s) mise en place chez son (ses) client(s).The manufacturer (s) deliver (s) a first version with a first configuration. Thereafter the (s) manufacturer (s) proceeds (s) to training the user (user personnel) for manual reconfiguration (simple by the way) that is to learn to user how to change the configuration manually. And training for setting up a changing configuration automatically on the basis of one or more algorithm (s) whose construction (construction management) is done by the customer in the program management modules. That is to say training to teach the user how to set up a changing configuration automatically on bases of his choice. Thereafter the manufacturer will no longer be able to know what (s) is (are) the configuration (s) set up with his (her) client (s).

[0116] Pour une sécurité « maximale », nous préconisons :For “maximum” security, we recommend:

- soit un changement des configurations manuellement quotidiennement.- or a change of configurations manually daily.

- soit, pour plus de confort, c’est à dire pour ne pas avoir à changer tous les jours manuellement les configurations : la mise en place d’un changement de configuration(s) quotidien automatique mais de changer les algorithmes des changements de configuration(s) aléatoire(s) c’est à dire les règles des changements aléatoires manuellement régulièrement.- or, for more comfort, that is to say not to have to manually change the configurations every day: the setting up of an automatic daily configuration change (s) but to change the configuration change algorithms (s) random (s) ie the rules of random changes manually regularly.

[0117] Cette deuxième possibilité offre en plus du confort, une sécurité même vis-à-vis du personnel qui configure les programmes en interne. Car il (le personnel) ne sera pas en mesure de savoir le(s) choix aléatoire(s) des algorithmes.This second possibility offers, in addition to comfort, security even vis-à-vis the personnel who configure the programs internally. Because he (the staff) will not be able to know the random choice (s) of the algorithms.

[0118] Les avantages du Procédé A et les produits programmes d’ordinateurs 1, 2 et 3 qui mettent en oeuvre le Procédé A par rapport aux solutions existantes (antérieures) au delà de « la différence » qui les distinguent des solutions existantes et leur complémentarité à l’existant sont :The advantages of Method A and the computer program products 1, 2 and 3 which implement Method A compared to existing (previous) solutions beyond "the difference" which distinguish them from existing solutions and their complementarity to the existing are:

- La Dynamicité et la caractéristique aléatoire dans le temps.- Dynamicity and random characteristic over time.

- La Dynamicité et la caractéristique aléatoire dans le temps offre également une sécurité (protection) vis-à-vis des observations et surveillances de long terme. C’est-à-dire, la forme que la cible souhaite donner à son (ses) réseau(x) et la manière avec laquelle elle transforme et/ou gonfle et/ou déforme virtuellement (dans l’apparence) son réseau (ses réseaux), son infrastructure (ses infrastructures), ses équipements, sont modifiables autant de fois que souhaité dans le temps. Quotidiennement si souhaité. Et empêche ainsi à une longue surveillance de décrire le(s) réseau(x), de distinguer (identifier) le(s) réseau(x) réel(x), et empêche donc ainsi à une longue surveillance de décrire la sécurité (la logique de défense) pour la détourner, la battre ou même déjà la comprendre. Car il faut d’abord comprendre un réseau (une infrastructure) pour s’y introduire et sa logique de sécurité pour la détourner. La configuration des Programmes d’ordinateur 1, 2 et 3 sont modifiables et devrait être modifier régulièrement (et sont modifiables automatiquement ou manuellement en fonction du choix de l’utilisateur et ce quotidiennement si souhaité par une simple reconfiguration automatique programmée de manière aléatoire ou une simple reconfiguration rapide manuelle) pour annuler l’efficacité d’une observation et une analyse passive /active de long terme. Le Procédé A et les Programmes 1, 2 et 3 permettent donc sécurité avec une configuration dynamique, active et surtout aléatoire dans le temps.- The Dynamicity and the random characteristic over time also offers security (protection) vis-à-vis long-term observations and surveillance. That is to say, the shape that the target wishes to give to its network (s) and the way in which it virtually transforms and / or inflates and / or deforms (in appearance) its network (its networks), its infrastructure (its infrastructures), its equipment, can be modified as many times as desired over time. Daily if desired. And thus prevents long monitoring to describe the network (s), to distinguish (identify) the real network (s), and thus thus prevents long monitoring to describe security (the defense logic) to divert it, beat it or even already understand it. Because you first need to understand a network (an infrastructure) to get into it and its security logic to divert it. The configuration of Computer Programs 1, 2 and 3 can be modified and should be changed regularly (and can be modified automatically or manually depending on the user's choice and this daily if desired by a simple automatic reconfiguration programmed at random or a simple quick manual reconfiguration) to cancel the effectiveness of an observation and a passive / active long-term analysis. Method A and Programs 1, 2 and 3 therefore allow security with a dynamic, active and above all random configuration over time.

- La protection de l’utilisateur du Procédé A et des programmes d’ordinateurs 1,2 et 3 (la cible) même vis-à-vis de l’inveteur du Procédé et du (des) fabriquant(s) des programmes 1, 2 et 3. En effet, pour la première fois dans le domaine de sécurité des systèmes d’information, des solutions proposent à l’utilisateur d’être protégé même vis-à-vis de l’inveteur du Procédé et des fabricants (sociétés) propriétaires des solutions de sécurité (à savoir les programmes 1,2 et 3). Le Procédé A et les produits programmes d’ordinateurs 1, 2 et 3 offrent à la différence des solutions existantes une protection pour l’utilisateur (la cible) même vis-à-vis de l’inventeur du Procédé et des fabriquants des outils (des solutions).- The protection of the user of Process A and computer programs 1,2 and 3 (the target) even against the inventor of the Process and the manufacturer (s) of programs 1, 2 and 3. Indeed, for the first time in the field of information system security, solutions offer the user to be protected even vis-à-vis the inventor of the Process and manufacturers (companies ) owners of security solutions (namely programs 1,2 and 3). Process A and computer program products 1, 2 and 3 offer, unlike existing solutions, protection for the user (the target) even vis-à-vis the inventor of the Process and the manufacturers of the tools ( solutions).

[0119] Explication : pour sécuriser et/ou prévenir une cible d’une attaque, les outils qui analysent les réseaux (les logs) des cibles (des utilisateurs de ces outils d’analyses), obligent les utilisateurs de ces solutions (les clients) à ouvrir (nécessitent absolument que les utilisateurs ouvrent) un (des) accès vers leur(s) réseau(x) au(x) fabriquant(s) de l’outil (des outils).Explanation: to secure and / or prevent a target from an attack, the tools which analyze the networks (the logs) of the targets (of the users of these analysis tools), oblige the users of these solutions (the customers ) to open (absolutely require that users open) access (s) to their network (s) to the manufacturer (s) of the tool (tools).

[0120] Grâce au Procédé A et/ou aux produits programmes d’ordinateurs 1, 2 et 3, le client dispose d’une sécurité (d’un arsenal de sécurité) qui ne nécessite en aucun cas de remonter des informations à son (ses) fabriquant(x).Thanks to Method A and / or to the computer program products 1, 2 and 3, the client has security (of a security arsenal) which in no case requires feedback of information to his ( its) manufacturer (s).

[0121] Le(s) fabriquant(s) livre(nt) une première version avec une première configuration. Par la suite le(s) fabriquant(s) procéde(nt) à une formation de l’utilisateur (du personnel de rutilisateur) pour la reconfiguration manuelle (simple d’ailleurs) c’est à dire pour apprendre à rutilisateur comment changer la configuration manuellement. Et une formation pour la mise en place d’une configuration changeante automatiquement sur la base d’un algorithme dont la construction est faite par le client dans les modules de gestion des programmes. C’est à dire comment mettre en place une configuration changeante automatiquement sur des bases de son choix. Par la suite le fabriquant ne sera plus en mesure de savoir quelle(s) est (sont) la (les) configuration(s) mise en place chez son (ses) client(s).The manufacturer (s) deliver (s) a first version with a first configuration. Subsequently the manufacturer (s) proceed (s) to training the user (reuse staff) for manual reconfiguration (simple by the way) that is to teach the user how to change the configuration manually. And training for setting up a automatically changing configuration based on an algorithm, the construction of which is done by the client in the program management modules. That is to say, how to set up a changing configuration automatically on the bases of your choice. Thereafter the manufacturer will no longer be able to know what (s) is (are) the configuration (s) set up with his (her) client (s).

[0122] Pour une sécurité maximale, nous préconisons :For maximum security, we recommend:

- soit, un changement des configurations manuellement quotidiennement,- either, a change of configurations manually daily,

- soit, pour plus de confort, c’est à dire pour ne pas avoir à changer tous les jours manuellement les configurations : la mise en place d’un changement de configurations quotidien automatique mais de changer les algorithmes des changements de configurations aléatoires c’est à dire les règles des changements aléatoires manuellement régulièrement. Cette deuxième possibilité offre en plus du confort, une sécurité même vis-à-vis du personnel qui configure les programmes en interne. Car il ne sera pas en mesure de savoir le choix aléatoire des algorithmes.- or, for more comfort, that is to say not to have to manually change the configurations every day: the setting up of a daily automatic configuration change but to change the algorithms of the random configuration changes c ' ie the rules of random changes manually regularly. This second possibility offers, in addition to comfort, security even vis-à-vis the personnel who configure the programs internally. Because it will not be able to know the random choice of algorithms.

[0123] Conclusion sur le Procédé A et les produits programmes d’ordinateurs qui mettent en oeuvre le Procédé A :Conclusion on Method A and the computer program products which implement Method A:

Ce nouveau procédé s’inspire (se base) sur les procédés d’attaques pour les perturber, les ralentir, annuler leur(s) efficacité(s) et amputer ainsi l’attaquant (les attaquants) de (leurs) trois forces majeures à savoir, rintelligence, la furtivité, et la capacité de détournement des dispositifs de sécurité par d’abord une lecture / une compréhension par l’observation d’un réseau et des dispositifs de défense d’un réseau.This new process is inspired (based on) the attack processes to disturb them, slow them down, cancel their effectiveness (s) and thus amputate the attacker (attackers) by (their) three major forces to knowledge, intelligence, stealth, and the ability to hijack security devices by first reading / understanding by observing a network and defending devices from a network.

[0124] Ce procédé (le Procédé A) change structurellement ce que nous appelons « le jeu » entre l’attaquant et la cible. Le jeu étant au delà de la technicité du domaine : d’une part un attaquant qui cherche à attaquer pour espionner, saboter ou verrouiller contre demande de rançon et d’autre part une cible qui cherche à se défendre tout en se développant et en étant en activité donc en générant en permanence des logs informatiques quotidiens légitimes.This method (Method A) structurally changes what we call "the game" between the attacker and the target. The game being beyond the technicality of the field: on the one hand an attacker who seeks to attack to spy, sabotage or lock against ransom demand and on the other hand a target who seeks to defend himself while developing and being therefore active by continuously generating legitimate daily computer logs.

[0125] Ce Procédé (le Procédé A) transforme « le jeu » pour l’attaquant en un jeu nonintelligent, dans lequel ses sens de l’observation et de l’écoute sont biaisés, et dans lequel sa ruse, son esprit d’analyse et ses requêtes et outils (scanners) ne lui servent plus à rien et le met tout simplement face à un nouveau jeu : « un jeu de probabilité de réussite/échec configurable en amont par la cible » et lui offrant donc une probabilité mathématique de réussite quasi nulle. Avec en plus à chaque essai une probabilité quasi nulle de ne pas tomber sur « une Mine » et générer une alerte sans conséquence sur un réseau et qui entraînera à chaque fois le bloquage de son adresse IP. Sachant qu’un pirate peut avoir la possibilité dans un laps de temps d’un mois par exemple d’avoir accès à une dizaine d’adresses IP maximum et ce, s’il dispose « d’une logistique » et/ou une capacité de mobilité assez importante (une sorte de roulette russe avec une probabilité de survie quasi nulle).This Method (Method A) transforms "the game" for the attacker into a nonintelligent game, in which his senses of observation and listening are biased, and in which his cunning, his spirit of analysis and its requests and tools (scanners) are no longer useful to him and quite simply puts him face to a new game: "a game of probability of success / failure configurable upstream by the target" and thus offering him a mathematical probability of almost zero success. With in addition to each test a virtually zero probability of not falling on "a Mine" and generating an alert without consequence on a network and which will cause each time the blocking of its IP address. Knowing that a hacker can have the possibility in a span of a month for example of having access to a dozen IP addresses maximum and this, if he has "logistics" and / or a capacity quite significant mobility (a kind of Russian roulette with an almost zero probability of survival).

[0126] Le deuxième Procédé, appelé dans ces documents Procédé B, est un procédé de Défense contre le(s) courrier(s) électronique(s) (dit courriels - courriel au singulier) dit piégé(s) par la présence de code(s) malveillant(s) ou dit autrement virus ou dit autrement infection ou dit autrement Malware, dans les pièces jointes à son - leur(s) contenu(s) ou dans le(s) lien(s) hypertexte de son (leurs) contenu(s) par une nouvelle stratégie appelée stratégie d’ouverture en milieu séparé/isolé/non sensible.The second Method, called in these documents Method B, is a Defense method against the electronic mail (s) (said emails - singular email) said trapped by the presence of code (s) malicious (s) or in other words virus or in other words infection or in other words Malware, in the attachments to its - their content (s) or in the hypertext link (s) of its (their ) content (s) by a new strategy called strategy of opening in a separate / isolated / non-sensitive environment.

[0127] C’est à dire par stratégie d’ouverture sur un réseau séparé et isolé(s) et/ou nonsensible(s). C’est à dire par stratégie d’ouverture sur un terminal (des terminaux) informatique(s) séparé(s) et/ou isolés et/ou non-sensible(s).This is to say by strategy of opening up to a separate and isolated network (s) and / or non-sensitive (s). That is to say by opening strategy on a separate computer terminal (s) and / or isolated and / or non-sensitive (s).

[0128] Précisons que le Procédé B est un Procédé de défense contre une (des) attaque(s) types 2.It should be noted that Method B is a Defense method against type 2 attack (s).

[0129] Rappelons que le(s) courrier(s) électronique(s) (dit courriels - courriel au singulier) dit piégé(s) par la présence de code(s) malveillant(s) ou dit autrement virus ou dit autrement infection ou dit autrement Malware, dans les pièces jointes à son - leur(s) contenu(s) ou dans le(s) lien(s) hypertexte de son (leurs) contenu(s) cible(nt) attaque(nt) - un terminal (des terminaux) comme un ordinateur) des ordinateurs par exemple, etc.Recall that the electronic mail (s) (known as e-mails - singular e-mail) says trapped by the presence of malicious code (s) or says otherwise virus or says infection otherwise or in other words Malware, in the attachments to its - their content (s) or in the hypertext link (s) of its target content (s) attack (s) - a terminal (terminals) such as a computer) computers for example, etc.

[0130] Rappel :Reminder:

- « Endpoint » c’est à dire des outils (programmes faits de codes informatiques) qui d’abord mémorisent (sauvegardent dans une mémoire) l’activité (les activités) « appelée(s) normale(s) » d’un terminal (c’est à dire un ordinateur par exemple). Puis envoient une (des) alerte(s) et/ou bloquent le terminal (les terminaux) si une (des) activité(s) différente(s) de celle(s) « enregistrée(s) dans la mémoire comme étant normale » est (sont) détectée(s) sur le terminal (les terminaux) ; ou dit autrement si une (des) activité(s) différente(s) de celle(s) « enregistrée(s) dans la mémoire de l’outil comme étant normale » est (sont) détectée(s).- "Endpoint" that is to say tools (programs made of computer codes) which first memorize (save in a memory) the activity (activities) "called (s) normal (s)" of a terminal (ie a computer for example). Then send an alert (s) and / or block the terminal (terminals) if an activity (ies) different from that (s) "recorded in memory as being normal" is (are) detected on the terminal (the terminals); or in other words if an activity (ies) different from that (s) "recorded in the tool memory as being normal" is (are) detected.

[0131] Rappelons également les limite(s) ou dit autrement du point de vue de l’attaquant, les faille(s) des solutions endpoints :We also recall the limit (s) or in other words, from the point of view of the attacker, the flaws of the endpoint solutions:

- Les Endpoints protègent les terminaux qui sont connectés à un (à des) - au(x) réseau(x). Et servent également pour empêcher une escalade à partir d’un terminal et/ ou plusieurs terminaux.- Endpoints protect terminals that are connected to one (s) - (x) network (s). And are also used to prevent escalation from one terminal and / or multiple terminals.

- Les endpoints sont certainement efficaces mais ne permettent pas un risque zéro. Un attaquant intelligent, dans le cadre d’une attaque pour espionnage ou même pour sabotage ou verrouillage contre rançon peut ne travailler à partir du terminal que lors des horaires de travail et opérer de manière à générer une activité jugée très légitime car lente et similaire à l’activité de l’utilisateur légitime dont il a la main sur le terminal.- Endpoints are certainly effective but do not allow zero risk. An intelligent attacker, in the context of an attack for espionage or even for sabotage or locking against ransom may only work from the terminal during working hours and operate in such a way as to generate an activity deemed very legitimate because it is slow and similar to the activity of the legitimate user in their hands on the terminal.

-Il peut également se contenter de récupérer des informations sur le terminal pour éviter d’être détecté par le(s) pare-feu et pour avoir des éléments permettant de mieux préparer (perfectionner) son attaque et attaquer par la suite un autre terminal et avancer doucement et en « laissant passer du temps entre ses activités ». Ainsi son (ses) activité(s) sur le terminal (les terminaux) protégé(s) par le(s) endpoint(s) et pare-feu ne sera (seront) pas détectée(s) - jugée(s) - comme illégitime(s). Ou quand elle(s) le sera (le seront), l’attaquant aurait déjà réussi à avoir des informations et/ou à verrouiller et/ ou saboter le terminal.-It can also be content to retrieve information on the terminal to avoid being detected by the firewall (s) and to have elements making it possible to better prepare (perfect) its attack and subsequently attack another terminal and move slowly and "let time pass between activities". Thus its activity (ies) on the terminal (terminals) protected by the endpoint (s) and firewall will (will) not be detected - judged - as illegitimate. Or when it (s) are (it will be), the attacker would have already managed to have information and / or to lock and / or sabotage the terminal.

- Rappelons que l’idée (la stratégie) d’une attaque (activité illégitime) « non détectée / non détectable » consiste simplement à adopter un comportement générant une activité « exactement similaire » ou à défaut « quasi similaire » à celle d’un utilisateur légitime qui génère une activité dans le cadre de l’exercice de sa fonction et ce « sans doublon(s) ». Le petit risque pris par la génération d’une activité quasi similaire et non exactement similaire n’est pas fatal car l’attaquant identifié et bloquer peut laisser passer du temps et revenir plus tard sur le même terminal ou sur un autre. Et ces petits risques pris lui permettront de connaître les limites des débordements qu’il peut se permettre la fois d’après.- Recall that the idea (the strategy) of an attack (illegitimate activity) "not detected / not detectable" consists simply in adopting a behavior generating an activity "exactly similar" or failing that "almost similar" to that of a legitimate user who generates an activity as part of the exercise of his function and this "without duplicate (s)". The small risk taken by generating an activity that is almost similar and not exactly similar is not fatal because the identified and blocked attacker can allow time to pass and come back later on the same or another terminal. And these small risks taken will allow him to know the limits of the overflows that he can afford the next time.

[0132] Rappelons également les limites des solutions anti-virus et anti-malware :[0132] Let us also recall the limits of anti-virus and anti-malware solutions:

- les anti-virus et anti-malware protègent les terminaux qui sont connectés au(x) réseau(x) seulement. Et pour empêcher une escalade (ou une latéralisation) à partir d’un terminal et/ou plusieurs terminaux.- anti-virus and anti-malware protect terminals that are connected to the network (s) only. And to prevent escalation (or lateralization) from one terminal and / or several terminals.

- les anti-virus et anti-malware sont également une solution efficace pour protéger un terminal (des terminaux). Ils détectent la présence « de virus » dit autrement « d’infections » et de code malveillants sur la base (les) base(s) de ce qu’on appelle « une signature » ou « des signatures » de code(s) malveillant(s) - de virus / d’infections. Les signatures de code(s) malveillant(s) - de virus / d’infections - sont recensée(s) par les fabricants d’anti-virus et anti-Malware. Chaque Malware et virus ayant ce que nous appelons techniquement une signature, introduite(s) dans la (les) base(s) de données des Anti-virus et Anti-Malware pour les détecter chez les cibles à protéger.- anti-virus and anti-malware are also an effective solution to protect a terminal (terminals). They detect the presence of "viruses", in other words "infections" and malicious code based on the basis (s) of what is called "a signature" or "signatures" of malicious code (s) (s) - viruses / infections. Signatures of malicious code (s) - of viruses / infections - are listed by the anti-virus and anti-malware manufacturers. Each Malware and virus having what we technically call a signature, entered in the database (s) of Anti-virus and Anti-Malware to detect them in the targets to be protected.

[0133] Or :[0133] Or:

- quand il s’agit d’une nouvelle infection, les anti-virus et les anti-malware ne détectent pas la signature car elle n’est tout simplement recensée et donc elle n’est pas enregistrée dans la (les) base(s) de données. Un code malveillant doit être utilisé « au moins » une fois pour être recensé.- when it is a new infection, anti-virus and anti-malware do not detect the signature because it is simply listed and therefore it is not saved in the database (s) ) of data. Malicious code must be used "at least" once to be identified.

- entre le recensement d’une « nouvelle signature d’infection » et la mise à jour un délai est logiquement nécessaire. En outre, la cible (les cibles) n’effectue(nt) pas parfois la (les) mises à jour tout de suite dès qu’elle(s) est (sont) disponible(s) et proposée(s) par le fabriquant d’anti-virus et anti-malware.- between the identification of a "new signature of infection" and the updating a delay is logically necessary. In addition, the target (targets) does not sometimes perform the update (s) immediately as soon as it (s) is (are) available (s) and proposed (s) by the manufacturer anti-virus and anti-malware.

[0134] Le Procédé B est caractérisé en ce qu’il comporte les étapes suivantes - notons que les étapes 1) et 2) ci-dessous du Procédé B ne sont pas forcément successives ; et notons qu’il est sollicité une protection sur ce qui suit - :Method B is characterized in that it comprises the following steps - note that steps 1) and 2) below of Method B are not necessarily successive; and note that protection is sought on the following -:

- étape 1) : identification et collecte manuelle (par un humain) et/ou identification et collecte automatisée par analyse (automatisée) sur la base de règles et équations (codes informatiques) prédéfinies, des courriels transportant et/ou comportant dans leurs contenus une (des) pièces jointes et/ou un (des) lien(s) hypertexte.- step 1): identification and manual collection (by a human) and / or identification and automated collection by analysis (automated) on the basis of predefined rules and equations (computer codes), e-mails carrying and / or containing in their content (of) attachments and / or one (of) hypertext link (s).

- étape 2) : l’ouverture de la (des) pièce(s) jointe(s) et le cliquage (c’est dire l’action qui consiste à cliquer) sur le(s) lien(s) hypertexte à partir d’un environnement isolé (séparé) ou dit autrement un milieu isolé (séparé). C’est à dire techniquement, l’ouverture de la (des) pièce(s) jointe(s) et le cliquage (c’est dire l’action qui consiste à cliquer) sur le(s) lien(s) hypertexte sur un (à partir d’un) et/ou (de) plusieurs réseau(x) isolé(s) c’est à dire séparé du (des) réseau(x) (informatique - informatiques) de la cible.- step 2): opening the attachment (s) and clicking (i.e. the action which consists of clicking) on the hypertext link (s) from 'an isolated (separate) environment or in other words an isolated (separate) environment. That is to say technically, the opening of the attachment (s) and the clicking (ie the action which consists in clicking) on the hypertext link (s) on one (from one) and / or (from) several isolated network (s), that is to say separated from the network (s) (IT) of the target.

C’est à dire aussi, techniquement, l’ouverture de la (des) pièce(s) jointe(s) et le cliquage (c’est dire l’action qui consiste à cliquer) sur le(s) lien(s) hypertexte sur un (à partir d’un) et/ou (de) plusieurs terminal (terminaux) - ordinateur(s) par exemple, etc. isolés / séparés du (des) réseau(x) (informatique - informatiques) de la cible. Notons qu’un terminal (des terminaux) - ordinateur(s) par exemple, etc. - isolés / séparés du (des) réseau(x) informatique(s) c’est à dire techniquement un terminal (des terminaux) - ordinateur(s) par exemple - connecté(s) - branché(s) / installé(s) - sur (à) un (des) réseau(x) séparé(s) / isolé(s).That is to say also, technically, the opening of the attachment (s) and the clicking (ie the action which consists in clicking) on the link (s) hypertext on one (from one) and / or (from) several terminal (terminals) - computer (s) for example, etc. isolated / separated from the target network (s) (IT - IT). Note that a terminal (terminals) - computer (s) for example, etc. - isolated / separated from the computer network (s), i.e. technically a terminal (terminals) - computer (s) for example - connected (s) - connected (s) / installed (s) - on (to) a separate / isolated network (s).

Dit autrement, l’ouverture de la (des) pièce(s) jointe(s) et le cliquage (c’est dire l’action qui consiste à cliquer) sur le(s) lien(s) hypertexte sur (à partir) à partir d’un (de) terminal (terminaux) - dit autrement sur un (des) terminal (terminaux) - connectés et/ou installés à/sur un (des) réseau(x) séparé(s) de celui (ceux) de la (des) cible(s).In other words, opening the attachment (s) and clicking (i.e. the action which consists of clicking) on the hypertext link (s) on (from) from a terminal (terminals) - in other words on a terminal (terminals) - connected and / or installed to / on a network (s) separate from that (those) of the target (s).

Notons qu’un réseau (des réseaux) informatique(s) isolé(s), séparé(s) veut dire : un (des) réseau(x) - informatique(s) - séparé(s) / isolé(s) du (des) réseau(x) informatique(s) de la cible (des cibles).Note that an isolated, separate computer network (s) means: a computer network (s) - separate / isolated from ( of the target computer network (s).

Notons qu’un terminal (des terminaux) - ordinateur(s) par exemple, etc. - isolé(s) / séparé(s) du (des) réseau (x) - informatique (s) - veut dire : un terminal (des terminaux)Note that a terminal (terminals) - computer (s) for example, etc. - isolated (s) / separate (s) from the network (s) - IT (s) - means: a terminal (terminals)

- ordinateur(s) par exemple, etc. - installé(s) / connecté(s) à un (des) réseau(x) isolé(s) / séparé(s). Rappelons qu’un réseau (des réseaux) informatique(s) isolé(s), séparé(s) veut dire : un (des) réseau(x) - informatique(s) - séparé(s) / isolé(s) du (des) réseau(x) informatique(s) de la cible (des cibles).- computer (s) for example, etc. - installed (s) / connected (s) to an isolated / separate network (s). Recall that an isolated, separate computer network (s) means: one (s) - computer network (s) - separate / isolated from ( of the target computer network (s).

Notons (précisons) qu’un réseau (des réseaux) informatique(s) isolé(s), séparé(s) peut (peuvent) également être substitué(s) par un réseau (des réseaux) informatique(s) nonsensible(s). Un réseau (des réseaux) informatique(s) non-sensible(s) veut dire un réseau (des réseaux) qui en cas d’infection dessus (dedans), ne cause(nt) pas - ne présente(nt) pas - un (des) risque(s) majeur(s) ou significatif(s) et/ou un (des) dommage(s) majeur(s) ou significatif(s) pour la cible (une cible).Note (note) that an isolated, separate computer network (s) may also be substituted by a non-responsive computer network (s) . A non-sensitive computer network (s) means a network (networks) which in the event of infection on (inside), does not cause (s) - does not present (s) - a (of) major or significant risk (s) and / or major (or significant) damage (s) for the target (a target).

Notons (précisons) également qu’un terminal (des terminaux) - ordinateur(s) par exemple, etc. - isolé(s) / séparé(s) du (des) réseau(x) (informatiques) de la cible peut (peuvent) également être substitué(s) par un terminal (des terminaux) informatique(s) non-sensible(s). Un terminal (des terminaux) informatique(s) non-sensible(s) c’est à dire un terminal (des terminaux) qui en cas d’infection dessus (dedans), ne cause(nt) pas - ne présente(nt) pas - un (des) risque(s) majeur(s) ou significatifs et/ou (un) des dommage(s) majeur(s) ou significatif(s) pour la cible (une cible).Note (also) that a terminal (terminals) - computer (s) for example, etc. - isolated / separated from the target computer network (s) can also be substituted by a non-sensitive computer terminal (s) ). A non-sensitive computer terminal (s) i.e. a terminal (terminals) which in the event of infection on (inside), does not cause (s) - does not present (s) no - a (major) or significant risk (s) and / or (a) major or significant damage (s) to the target (a target).

- étape 3) : le renvoi des fichiers et/ou données récupérés à partir du (des) lien(s) hypertexte et/ou de la (des) pièce(s) jointe(s) ouvertes (c’est à dire après leur ouverture et le cliquage dessus) sur le (les) réseau(x) isolé(s), séparé(s) ou dit autrement ouverts (c’est à dire après l’ouverture et le cliquage dessus) sur le (les) réseau(x) isolé(s), séparé(s) ou dit autrement à partir du (des) réseau(x) isolé(s), séparé(s), vers le (les) destinataire(s) initial (initiaux).- step 3): the return of the files and / or data retrieved from the hypertext link (s) and / or the open attachment (s) (i.e. after their opening and clicking on it) on the isolated network (s), separate (s) or in other words open (i.e. after opening and clicking on it) on the network (s) x) isolated, separate or in other words from the isolated network (s), separated, towards the initial recipient (s).

[0135] Un autre objet de l’invention est un dispositif de réalisation de défense contre les attaques informatiques sur la base du Procédé B, c’est à dire un dispositif de réalisation de défense contre les attaques informatiques caractérisé en (à) ce qu’il met en oeuvre le Procédé B et consistant en un produit programme d’ordinateur appelé produit programme d’ordinateur 4 dans cette demande de brevet.Another object of the invention is a device for carrying out defense against computer attacks on the basis of Method B, that is to say a device for carrying out defense against computer attacks characterized in (a) that 'it implements Method B and consisting of a computer program product called computer program product 4 in this patent application.

[0136] Le produit programme d’ordinateur de défense contre les courriers électroniques piégés appelé produit programme d’ordinateur 4 dans cette demande de brevet est :The computer defense program product against trapped e-mail called computer program product 4 in this patent application is:

- Le produit programme d’ordinateur de défense contre les courriers électroniques piégés par la stratégie d’ouverture sur un (des) réseau(x) informatique(s) isolé(s)/séparé(s)/non-sensible(s).- The product computer program for defense against e-mails trapped by the strategy of opening up on an isolated computer network (s) / separate / non-sensitive.

Ou dit autrement, le programme de défense contre les courriers électroniques piégés par la stratégie d’ouverture en environnement (milieu) isolé/séparé/non-sensible.In other words, the defense program against e-mails trapped by the strategy of opening in an isolated / separate / non-sensitive environment (environment).

[0137] Dans cette demande de brevet figure deux Procédés (types / logiques) de codage codage(s) informatique(s) - possibles pour le produit programme d’ordinateur 4. Précisons que d’autres procédés de codage (logique(s) de codage(s) informatique(s) sont également possibles pour mettre en oeuvre le Procédé B et seront indiqués dans les prochaines versions du produit programme d’ordinateur 4.In this patent application appears two Methods (types / logic) of coding computer coding (s) - possible for the computer program product 4. It should be noted that other coding methods (logic (s) computer coding (s) are also possible to implement Method B and will be indicated in future versions of the computer program product 4.

[0138] Nous appelons dans cette demande de brevet le premier procédé (premier type/ première logique) de codage ou dit autrement le premier code : Code 1.In this patent application, we call the first coding method (first type / first logic) or in other words the first code: Code 1.

[0139] Nous appelons dans cette demande de brevet le deuxième procédé (deuxième logique / deuxième type) de codage ou dit autrement le deuxième code : Code 2.In this patent application, we call the second coding method (second logic / second type) or in other words the second code: Code 2.

[0140] Notons par ailleurs que « courriels » veut dire dans cette demande de brevet : courriers électroniques. Et que « courriel » veut dire : courrier électronique [0141] Notons que dans cette demande de brevet le(s) courrier(s) électronique(s) ayant (portant) dans son (leurs) contenu(s) un ou plusieurs lien(s) hypertexte et/ou une (des) pièce(s) jointe(s) ou dit autrement le(s) courrier(s) électronique(s) transportant un ou plusieurs lien(s) hypertexte et/ou une (des) pièce(s) jointe(s) est (sont) également parfois appelé(s) : courriels à risque.Note also that "emails" means in this patent application: emails. And that "email" means: electronic mail [0141] Note that in this patent application the electronic mail (s) having (bearing) in its (their) content (s) one or more link ( s) hypertext and / or one (s) attachment (s) or in other words the electronic mail (s) carrying one or more hypertext link (s) and / or one (s) (s) attached (s) is (are) also sometimes called (s): emails at risk.

[0142] Notons que dans cette demande de brevet (précisément dans la mise en oeuvre du Procédé B par le produit programme d’ordinateur 4 et par le produit programme d’ordinateur 5 ci-dessous) une plateforme est appelée : « Centrale des Courriels à Risque » ou parfois « la Centrale des Courriels à Risque ». Notons également que « Centrale des Courriels à Risque » est parfois citée grâce (par) son sigle à savoir, « CCR » ; et que « la Centrale des Courriels à Risque » est parfois citée grâce (par) son sigle à savoir, « la CCR ».Note that in this patent application (specifically in the implementation of Method B by the computer program product 4 and by the computer program product 5 below) a platform is called: "Email Center at Risk ”or sometimes“ the Central of Risky E-mails ”. Note also that "Central Risk Mail" is sometimes cited thanks to (by) its acronym, "CCR"; and that "the Central of Risk E-mails" is sometimes cited thanks to (by) its acronym, "CCR".

[0143] Voici la définition et la description détaillée de la Centrale des Courriels à Risque (CCR): La Centrale des Courriels à Risque (CCR) est une plateforme installée (à installer) et/ou connectée (à connecter) sur (à) un terminal (des terminaux) - ordinateurs) par exemple, etc. - installé(s) (à installer) et connecté(s) (à connecter) sur (à) un (des) réseau(x) séparé(s) - isolé(s) du réseau (des réseaux) de l’utilisateur (de la cible) et (nous recommandons qu’elle soit) dédiée « de préférence mais pas forcément » exclusivement (uniquement) à l’activité de traitement anti courriels piégés.Here is the definition and detailed description of the Risk E-Mail Central (CCR): The Risk E-Mail Central (CCR) is an installed platform (to be installed) and / or connected (to be connected) on (to) a terminal (terminals) - computers) for example, etc. - installed (s) (to be installed) and connected (s) (to be connected) on (to) a separate network (s) - isolated from the user's network (networks) ( of the target) and (we recommend that it be) dedicated "preferably but not necessarily" exclusively (only) to the anti-trapped email processing activity.

[0144] Notons qu’un - le - (des - les) réseau(x) séparé(s) tel que décrit(s) ci-dessus (précisément à la page 19 de cette demande de brevet) est (sont) appelé(s) également parfois dans cette demande de brevet le(s) réseau(x) CCR ou « le(s) réseau(x) isolé(s) ».Note that a - the - (of - the) separate network (s) as described above (precisely on page 19 of this patent application) is (are) called ( s) also sometimes in this patent application the CCR network (s) or "the isolated network (s)".

[0145] Notons qu’un (que le) terminal (des terminaux - les terminaux) - ordinateur(s) par exemple, etc. - séparé(s) / isolé(s) / non-sensible(s) du (des) réseau(x) - informatique(s) - tels que décrit(s) ci-dessus (précisément à la page 19 de cette demande de brevet) est (sont) appelé(s) également parfois dans cette demande de brevet « terminal CCR » ou « terminaux CCR » ou « terminaux séparés » ou « terminaux isolés » ou «terminaux non-sensibles ». Notons qu’un terminal (des terminaux) non-sensible(s) veut dire un terminal (des terminaux) qui en cas d’infection dessus (dedans), ne cause(nt) pas - ne présente(nt) pas - un (des) risque(s) majeur(s) ou significatif^) et/ou un (des) dommage(s) majeur(s) ou significatif^) pour la cible (une cible).Note that one (that) terminal (terminals - terminals) - computer (s) for example, etc. - separate (s) / isolated (s) / non-sensitive (s) from the network (s) - IT (s) - as described above (precisely on page 19 of this request for patent) is (are) also sometimes called (s) in this patent application "CCR terminal" or "CCR terminals" or "separate terminals" or "isolated terminals" or "non-sensitive terminals". Note that a non-sensitive terminal (s) means a terminal (terminals) which in the event of infection on (inside), does not cause (s) - does not present (s) - a ( major or significant risk ^ and / or major or significant damage to the target (a target).

[0146] Rappelons qu’un réseau (des réseaux) informatique(s) isolé(s) / séparé(s) du (des) réseau(x) informatique(s) de la cible (des cibles) peut (peuvent) également être substitué(s) par un réseau (des réseaux) informatique(s) non-sensible(s). Un réseau (des réseaux) informatique(s) non-sensible(s) veut dire un réseau (des réseaux) qui en cas d’infection dessus (dedans), ne cause(nt) pas - ne présente(nt) pas - un (des) risque(s) majeur(s) ou significatif^) et/ou un (des) dommage(s) majeur(s) ou significatif^) pour la cible (une cible).Recall that a network (networks) computer (s) isolated (s) / separate (s) from the network (s) computer (s) of the target (targets) can (can) also be substituted (s) by a non-sensitive computer network (s). A non-sensitive computer network (s) means a network (networks) which in the event of infection on (inside), does not cause (s) - does not present (s) - a (major or significant risk (s) ^) and / or major or significant damage (s) to the target (a target).

[0147] Rappelons également qu’un terminal (terminaux) - ordinateur(s) par exemple, etc. isolé(s) / séparé(s) du (des) réseau(x) informatique(s) de la cible (des cibles) peut (peuvent) également être substitué(s) par un terminal (des terminaux) informatique(s) non-sensible(s). Un terminal (des terminaux) informatique(s) non-sensible(s) c’est à dire un terminal (des terminaux) qui en cas d’infection dessus (dedans), ne cause(nt) pas - ne présente(nt) pas - un (des) risque(s) majeur(s) ou significatif^) et/ou un (des) dommage(s) majeur(s) ou significatif^) pour la cible (une cible).It should also be remembered that a terminal (terminals) - computer (s) for example, etc. isolated / separate (s) from the IT network (s) of the target (targets) can (can) also be substituted by a non-IT terminal (s) -sensitive (s). A non-sensitive computer terminal (s), i.e. a terminal (terminals) which in the event of infection on (inside), does not cause (s) - does not present (s) no - major or significant risk (s) ^ and / or major or significant damage (s) to the target (a target).

[0148] Notons donc que la Centrale des Courriels à Risque (CCR) peut également être une plateforme installée (à installer) et/ou connectée (à connecter) sur (à) un terminal (des terminaux) - ordinateur(s) par exemple, etc. - installé(s) (à installer) et connecté(s) (à connecter) sur (à) un réseau (des réseaux) informatique(s) non-sensible(s).We therefore note that the Central Risk Mail (CCR) can also be a platform installed (to install) and / or connected (to connect) on (to) a terminal (terminals) - computer (s) for example , etc. - installed (s) (to be installed) and connected (s) (to be connected) on (to) a non-sensitive computer network (s).

[0149] Rappelons que réseau (des réseaux) informatique(s) non sensible(s) c’est à dire un réseau (des réseaux) qui en cas d’infection dessus (dedans), ne cause(nt) pas - ne présente(nt) pas - un (des) risque(s) majeur(s) ou significatifs et/ou (un) des dommage(s) majeur(s) ou significatif^) pour la cible (une cible).Let us not forget that non-sensitive computer network (s), that is to say a network (of networks) which in the event of infection above (inside), does not cause (s) - does not present (not) - one (or more) major or significant risk (s) and / or (one) major or significant damage (s) to the target (a target).

[0150] Et qu’un terminal (des terminaux) informatique(s) non-sensible(s) c’est à dire un terminal (des terminaux) qui en cas d’infection dessus (dedans), ne cause(nt) pas - ne présente(nt) pas - un (des) risque(s) majeur(s) ou significatifs et/ou un (des) dommage(s) majeur(s) ou significatif^) pour la cible (une cible).And that a non-sensitive computer terminal (s), that is to say a terminal (of terminals) which in the event of infection above (inside), does not cause (s) - does not present (s) - one (or more) major or significant risk (s) and / or one (or more) major or significant damage (s) to the target (a target).

[0151] Voici ci-dessous, la description du produit programme d’ordinateur 4 sur la base du code 1 (et notons qu’il est sollicité une protection sur ce qui suit) :Here below, the description of the product computer program 4 on the basis of code 1 (and note that protection is sought on the following):

[0152] Première fonction (ou fonction 1) du produit Programme d’ordinateur 4 sur la base du code 1 :First function (or function 1) of the product Computer program 4 on the basis of code 1:

- analyse (l’analyse) d’un (des) courriel(s) reçu(s) (c’est à dire entrant/entrants) sur la base de règles prédéfinies (codes informatiques) modifiables et identification (l’identification) du (des) courriel(s) à risque. Courriel(s) à risqué veut dire : courriel(s) ayant/comportant dans son (leurs) contenu(s) - transportant- un ou plusieurs lien(s) hypertexte et/ou une ou plusieurs pièce(s) jointe(s). Explication supplémentaire détaillée : la première fonction du Programme d’ordinateur 4 sur le base du code 1 consiste à analyser le (les) courriel(s) reçu(s) c’est à dire entrant(s) dès son (leur) réception ; et ce sur la base de règles prédéfinies modifiables pour identifier (repérer) parmi les courriels entrants (reçus) celui (ceux) ayant/comportant dans son (leurs) contenu(s) transportant- un ou plusieurs lien(s) hypertexte et/ou une ou plusieurs pièce(s) jointe(s) qu’on peut également appeler fichier(s) joint(s) et/ou documents joint(s) ; et ce avant son (leurs) ouverture(s) par le (les) destinataire(s) du (des) courriel(s) ayant/comportant dans son (leurs) contenu(s) - transportant- un ou plusieurs lien(s) hypertexte et/ou une ou plusieurs pièce(s) jointe(s). A l’intérieur de cette fonction 1 (première fonction) deux sous fonctions sont possibles sous la forme d’options et laissées au choix de l’utilisateur. Ces deux sous fonctions à l’intérieur de la fonction 1 sont appelées dans cette demande de brevet : option 1 et option 2 (respectivement).- analysis (analysis) of one (s) email (s) received (i.e. incoming / inbound) on the basis of predefined rules (computer codes) that can be modified and identification (identification) of the (of) email (s) at risk. Risky email (s) means: email (s) having / comprising in its content (s) - carrying- one or more hypertext link (s) and / or one or more attachment (s) . Additional detailed explanation: the first function of Computer Program 4 on the basis of code 1 is to analyze the email (s) received, that is to say incoming (s) as soon as they are received; and this on the basis of modifiable predefined rules to identify (locate) among the incoming emails (received) that (those) having / comprising in its (their) content (s) carrying- one or more hypertext link (s) and / or one or more attachment (s) that can also be called attachment file (s) and / or attached document (s); and this before its (their) opening (s) by the recipient (s) of the email (s) having / comprising in its (their) content (s) - carrying- one or more link (s) hypertext and / or one or more attachment (s). Within this function 1 (first function) two sub-functions are possible in the form of options and left to the choice of the user. These two sub-functions within function 1 are called in this patent application: option 1 and option 2 (respectively).

[0153] Option 1 : le produit Programme d’ordinateur 4 marque le (les) courriel(s) à risque (tels que définis dans cette demande de brevet) avec un marquage visuel (signal visuel) dans la boite de réception du (des) destinataire(s). En ajoutant une mention écrite. La mention écrite est à titre d’exemple non exclusif : Ne pas ouvrir ! Courriel en attente de traitement anti piégeage avant autorisation d’ouverture !Option 1: the product Computer program 4 marks the at-risk email (s) (as defined in this patent application) with a visual marking (visual signal) in the inbox of the ) recipient (s). By adding a written mention. The written mention is by way of non-exclusive example: Do not open! Email awaiting anti-entrapment treatment before opening authorization!

[0154] Option 2 : le produit Programme d’ordinateur 4 retire le (les) courriel(s) à risque (tels que définis dans cette demande de brevet) de la (des) boite(s) de messagerie du (des) destinataire(s) des courriels à risque.Option 2: the Computer Program 4 product removes the risky email (s) (as defined in this patent application) from the recipient's mailbox (es) (s) risky emails.

[0155] Deuxième fonction (ou fonction 2) du produit Programme d’ordinateur 4 sur le base du code 1 :[0155] Second function (or function 2) of the product Computer program 4 on the basis of code 1:

- Collecte (la collecte) du (des) courriel(s) à risque.- Collection (collection) of email (s) at risk.

[0156] Troisième fonction (ou fonction 3) du produit Programme d’ordinateur 4 sur la base du code 1 :Third function (or function 3) of the product Computer program 4 on the basis of code 1:

- Sauvegarde (la sauvegarde) du (des) courriel(s) à risque ainsi que la sauvegarde de l’adresse (des adresses) électronique(s) du (des) destinataire(s) associé(s). Notons que destinataires veut dire dans la description du programme d’ordinateur 4 de cette demande de brevet : destinataire(s) des courriels à risque (courriels à risque tels que définis dans cette demande de brevet).- Backup (backup) of the email (s) at risk as well as backup of the email address (es) of the associated recipient (s). Note that recipients mean in the description of computer program 4 of this patent application: recipient (s) of risk emails (risk emails as defined in this patent application).

[0157] Quatrième fonction (ou fonction 4) du produit Programme d’ordinateur 4 sur la base du code 1 :Fourth function (or function 4) of the product Computer program 4 on the basis of code 1:

- Octroi (l’octroi) - la génération - d’un numéro d’immatriculation à - pour - chaque courriel à risque sauvegardé et la sauvegarde de ce numéro d’immatriculation en l’associant dans la mémoire du programme d’ordinateur 4 à l’adresse électronique (aux adresses électroniques) du (des) destinataire(s) (déjà sauvegardé) du (des) courriel(s) à risque. Rappelons que destinataires veut dire dans la description du programme d’ordinateur 4 de cette demande de brevet : destinataire(s) des courriels à risque (courriels à risque tels que définis dans cette demande de brevet).- Granting (granting) - generating - of a registration number to - for - each saved risk email and saving this registration number by associating it in the memory of the computer program 4 to the e-mail address (e-mail addresses) of the recipient (s) (already saved) of the risk e-mail (s). Recall that recipients mean in the description of the computer program 4 of this patent application: recipient (s) of risk emails (risk emails as defined in this patent application).

[0158] Cinquième fonction (optionnelle) - ou fonction 5 optionnelle - du produit Programme d’ordinateur 4 sur la base du code 1 :[0158] Fifth (optional) function - or optional function 5 - of the Computer Program 4 product on the basis of code 1:

- Chiffrement (le chiffrement) du (des) contenu(s) du (des) courriel(s) à risque. C’est à dire le chiffrement du (des) contenu(s) du (des) courrier(s) électronique(s) ayant (portant) dans son (leurs) contenu(s) - transportant - un ou plusieurs lien(s) hypertexte et/ou une (des) pièce(s) jointe(s).- Encryption (encryption) of the content (s) of the email (s) at risk. That is to say the encryption of the content (s) of the electronic mail (s) having (bearing) in its (their) content (s) - carrying - one or more link (s) hypertext and / or one (or more) attachment (s).

[0159] Sixième fonction (ou fonction 6) du produit Programme d’ordinateur 4 sur le base du code 1 :[0159] Sixth function (or function 6) of the Computer Program 4 product on the basis of code 1:

- Envoi (l’envoi) du (des) courriel(s) - chiffré(s) si l’utilisateur opte pour l’activation de l’option chiffrement c’est à dire si l’utilisateur opte pour l’activation de la cinquième fonction optionnelle du produit Programme d’ordinateur 4 sur la base du code 1, décrite ci-dessus - sur (vers) une plateforme séparée / isolée du réseau de l’utilisateur (de la cible) ; baptisée et appelée dans cette demande de brevet « la Centrale des Courriels à Risque » appelée (citée) parfois également dans cette demande de brevet par son sigle, à savoir « CCR ».- Sending (sending) of the email (s) - encrypted if the user chooses to activate the encryption option, i.e. if the user chooses to activate the fifth optional function of the product Computer program 4 on the basis of code 1, described above - on (to) a platform separate / isolated from the network of the user (of the target); baptized and called in this patent application "the Central of Risk E-mails" called (cited) sometimes also in this patent application by its acronym, namely "CCR".

[0160] Rappelons la définition et la description détaillée de la Centrale des Courriels à Risque (CCR) :Let us recall the definition and the detailed description of the Central Risk Mail Office (CCR):

- La Centrale des Courriels à Risque (CCR) est une plateforme installée (à installer) et/ou connectée (à connecter) sur (à) un terminal (des terminaux) - ordinateur(s) par exemple, etc. - installé(s) (à installer) et connecté(s) (à connecter) sur (à) un (des) réseau(x) séparé(s) - isolé(s) du réseau (des réseaux) de l’utilisateur (de la cible) et (nous recommandons qu’elle soit) dédiée « de préférence mais pas forcément » exclusivement (uniquement) à l’activité de traitement anti courriels piégés.- The Risk Mail Center (CCR) is a platform installed (to be installed) and / or connected (to be connected) on (to) a terminal (terminals) - computer (s) for example, etc. - installed (s) (to be installed) and connected (s) (to be connected) on (to) a separate network (s) - isolated from the user's network (networks) ( of the target) and (we recommend that it be) dedicated "preferably but not necessarily" exclusively (only) to the anti-trapped email processing activity.

[0161] Notons que le (les) réseau(x) séparé(s) décrit(s) ci-dessus est (sont) appelé(s) également parfois dans cette demande de brevet le(s) réseau(x) CCR ou « le(s) réseau(x) isolé(s) ».Note that the separate network (s) described above is (are) also sometimes called in this patent application the CCR network (s) or “ the isolated network (s) ”.

[0162] Rappelons qu’un réseau (des réseaux) informatique(s) isolé(s), séparé(s) du (des) réseau(x) informatique(s) de la cible (des cibles) peut (peuvent) également être substitué(s) par un réseau (des réseaux) informatique(s) non-sensible(s). Un réseau (des réseaux) informatique(s) non-sensible(s) c’est à dire un réseau (des réseaux) qui en cas d’infection dessus (dedans), ne cause(nt) pas - ne présente(nt) pas - un (des) risque(s) majeur(s) ou significatif^) et/ou un (des) dommage(s) majeur(s) ou significatif(s) pour la cible (une cible).Recall that an isolated computer network (s), separate from the computer network (s) of the target (targets) can also be substituted (s) by a non-sensitive computer network (s). A non-sensitive computer network (s), i.e. a network (networks) which in the event of infection on (inside), does not cause (s) - does not present (s) no - a major or significant risk (s) ^ and / or a major or significant damage (s) to the target (a target).

[0163] Rappelons également qu’un terminal (des terminaux) - ordinateur(s) par exemple, etc. - isolé(s) / séparé(s) du (des) réseau(x) informatiques de la cible (des cibles) peut (peuvent) également être substitué(s) par un terminal (des terminaux) informatique(s) non-sensible(s). Un terminal (des terminaux) informatique(s) non-sensible(s) c’est à dire un terminal (des terminaux) qui en cas d’infection dessus (dedans), ne cause(nt) pas - ne présente(nt) pas - un (des) risque(s) majeur(s) ou significatif(s) et/ou un (des) dommage(s) majeur(s) ou significatif(s) pour la cible (une cible).We also recall that a terminal (terminals) - computer (s) for example, etc. - isolated / separated from the target computer network (s) can also be substituted by a non-sensitive computer terminal (s) (s). A non-sensitive computer terminal (s) i.e. a terminal (terminals) which in the event of infection on (inside), does not cause (s) - does not present (s) no - a major or significant risk (s) and / or major or significant damage (s) to the target (a target).

[0164] Notons donc que la Centrale des Courriels à Risque (CCR) peut également être une plateforme installée (à installer) et/ou connectée (à connecter) sur (à) un terminal (des terminaux) - ordinateur(s) par exemple, etc. - installé(s) (à installer) et connecté(s) (à connecter) sur (à) un réseau (des réseaux) informatique(s) non-sensible(s).It should therefore be noted that the Risk Mail Center (CCR) can also be a platform installed (to be installed) and / or connected (to be connected) on (to) a terminal (terminals) - computer (s) for example , etc. - installed (s) (to be installed) and connected (s) (to be connected) on (to) a non-sensitive computer network (s).

[0165] Un réseau (des réseaux) informatique(s) non-sensible(s) c’est à dire un réseau (des réseaux) qui en cas d’infection dessus (dedans), ne cause(nt) pas - ne présente(nt) pas un (des) risque(s) majeur(s) ou significatif(s) et/ou un (des) dommage(s) majeur(s) ou significatif(s) pour la cible (une cible).A non-sensitive computer network (s), that is to say a network (of networks) which, in the event of infection above (inside), does not cause (s) - does not present (s) not a major or significant risk (s) and / or a major or significant damage (s) for the target (a target).

[0166] Et un terminal (des terminaux) informatique(s) non-sensible(s) c’est à dire un terminal (des terminaux) qui en cas d’infection dessus (dedans), ne cause(nt) pas - ne présente(nt) pas - un (des) risque(s) majeur(s) ou significatif(s) et/ou un (des) dommage(s) majeur(s) ou significatif(s) pour la cible (une cible).And a non-sensitive computer terminal (s), that is to say a terminal (of terminals) which, in the event of infection above (inside), does not cause (s) - does not not present - a major or significant risk (s) and / or major or significant damage (s) to the target (a target) .

[0167] Rappelons qu’un (des) réseau(x) séparé(s) tel(s) que décrit(s) ci-dessus est (sont) appelé(s) également parfois dans cette demande de brevet : « réseau(x) CCR » ou « réseau(x) séparé(s) » ou « réseau(x) isolé(s) » ou « réseaux CCR ».Let us recall that a separate network (s) as described above is (are) also sometimes called in this patent application: "network (x ) CCR "or" separate network (s) "or" isolated network (s) "or" CCR network ".

[0168] A ce stade, deux étapes « de traitement humain » sont nécessaires. Ces deux étapes de traitement humain sont appelées dans cette demande de brevet : étape 1 et étape 2.[0168] At this stage, two "human treatment" stages are necessary. These two stages of human treatment are called in this patent application: stage 1 and stage 2.

[0169] Notons cepandant que ces deux étapes peuvent être automatisées. Et notons que l’automatisation de ces deux étapes est déjà prévue dans la prochaine version du produit programme d’ordinateur 4.Note however that these two steps can be automated. And note that the automation of these two steps is already planned in the next version of computer program product 4.

[0170] L’étape 1 (étape 1) de traitement humain :Step 1 (step 1) of human processing:

- Un ou plusieurs humain(s), en fonction du volume de courriels à risque reçu par le (les) destinataire(s) du (des) courriel(s) à risques - présentant un risque d’infection(s) procède(nt) à l’ouverture (aux ouvertures) des pièces jointes au(x) courriel(s) à risque fichier(s) joint(s) au(x) courriels à risque / documents joint(s) au(x) coumel(s) à risque ; et clique(ent) sur le(s) lien(s) hypertexte présent(s) dans le (les) contenu(s) des - ou dit autrement attachés au(x) - coumel(s) à risque ou dit autrement transporté(s) par le(s) courriel(s) à risque pour accéder au(x) document(s) - fichier(s) - associé(s) ; et ce à partir du terminal (des terminaux) - ordinateur(s) par exemple, etc. - installé(s) et connecté(s) au(x) réseau(x) séparé(s) / isolé(s) / « réseau(x) CCR ». Ou dit autrement à partir de (sur) la CCR (la Centrale des Courriels à Risque).- One or more human (s), depending on the volume of risky emails received by the recipient (s) of the risky email (s) - presenting a risk of infection (s) proceed (s) ) at the opening (at the openings) of the attachments to the risk email (s) file (s) attached to the risk email (s) / documents attached to the report (s) ) at risk ; and click (s) on the hypertext link (s) present in the content (s) of - or in other words attached to the risky or otherwise transported coumel (s) s) by e-mail (s) at risk to access the document (s) - file (s) - associated (s); and this from the terminal (terminals) - computer (s) for example, etc. - installed (s) and connected (s) to the separate / isolated / isolated network / "CCR network (s)". Or in other words from (on) the CCR (the Central Risk Mail).

[0171] L’étape 2 (étape 2) de traitement humain :Stage 2 (stage 2) of human treatment:

- Un ou plusieurs humain(s), en fonction du volume de courriels à risque reçu par la cible (les cibles) - utilisateur (utilisateurs) du programme d’ordinateur 4 -, « procède(nt) à la réintégration dans le produit programme d’ordinateur 4 de la (des) pièce(s) jointe(s) déjà ouverte(s) sur le (les) réseau(x) séparé(s) isolé(s) - réseau(x) CCR - et des document(s) - fichier(s) / information(s) - récupéré(s) à partir du (des) lien(s) sur lequel (lesquels) l’humain (les humains) a (ont) cliqué à partir du réseau(x) séparé(s) isolé(s) / réseau(x) CCR. C’est à dire aussi : un ou plusieurs humain(s), en fonction du volume de courriels à risque reçu par la cible (les cibles) - utilisateur (utilisateurs) du programme d’ordinateur 4 -, « procède(nt) à la réintégration dans le produit programme d’ordinateur 4 de la (des) pièce(s) jointe(s) déjà ouverte(s) sur le (les) réseau(x) séparé(s) isolé(s) / réseau(x) CCR et des document(s) - fichier(s) / information^) - récupéré(s) à partir du (des) lien(s) sur lequel (lesquels) l’humain (les humains) a (ont) cliqué à partir du terminal (des terminaux) CCR / du terminal (des terminaux) séparés tels que décrits (définis) dans cette demande de brevet. Et/ou des fichiers (documents) récupérés à partir du (des) lien(s) hypertexte se trouvant dans le (les) courriels. Lors de cette étape 2, l’humain (les humains) associe(nt) les fichiers et documents au(x) numéro(s) d’immatriculation du (des) courriel(s) 1’(les) ayant transporté(s) dans leur(s) contenu(s).- One or more human (s), depending on the volume of emails at risk received by the target (targets) - user (users) of the computer program 4 -, “proceeds (s) to the reintegration (s) into the product program computer 4 of the attachment (s) already open on the separate isolated network (s) - CCR network (s) - and documents ( s) - file (s) / information (s) - retrieved from the link (s) on which the human (humans) clicked (s) from the network (x ) separate isolated (s) / CCR network (s). That is also to say: one or more human (s), depending on the volume of at-risk e-mails received by the target (the targets) - user (users) of the computer program 4 -, "proceeds (s) to the reintegration into the computer program product 4 of the attachment (s) already open on the separate isolated network (s) / network (s) CCR and documents (s) - file (s) / information ^) - retrieved from the link (s) on which the human (humans) clicked CCR terminal (s) / separate terminal (s) as described (defined) in this patent application. And / or files (documents) retrieved from the hypertext link (s) found in the e-mail (s). During this step 2, the human (humans) associate (s) the files and documents with the registration number (s) of the email (s) 1 '(s) having transported (s) in their content (s).

[0172] Rappelons que ces deux étapes peuvent être automatisées.Remember that these two steps can be automated.

[0173] Et rappelons que l’automatisation de ces deux étapes est déjà prévue dans la prochaine version du produit programme d’ordinateur 4.And remember that the automation of these two steps is already planned in the next version of the computer program product 4.

[0174] Septième fonction (fonction 7) du produit Programme d’ordinateur 4 sur la base du code 1 :[0174] Seventh function (function 7) of the product Computer program 4 on the basis of code 1:

- le déchiffrement de courriel (du courriel/des courriels) à risque si la cible (utilisateur du programme d’ordinateur 4) opte (a opté) pour l’activation de l’option chiffrement ; c’est à dire si la cible (utilisateur du programme d’ordinateur 4) opte (a opté) pour l’activation de la fonction 5 (cinq) du produit Programme d’ordinateur 4 sur la base du code 1. Fonction 5 telle que décrite ci-dessus.- the decryption of email (of email / emails) at risk if the target (user of computer program 4) opts (has opted) for the activation of the encryption option; that is, if the target (user of computer program 4) opts (has opted) for the activation of function 5 (five) of the product Computer program 4 on the basis of code 1. Function 5 as as described above.

[0175] Huitième fonction (fonction 8) du produit Programme d’ordinateur 4 sur la base du code 1 :Eighth function (function 8) of the product Computer program 4 on the basis of code 1:

- Envoi (l’envoi) - ou dit autrement renvoi (le renvoi) - de la (des) pièce(s) jointe(s) et /ou fichier(s) / document(s) réintégré(e) / réintégré(es) / réintégré(s) par l’humain (les humains) ou automatiquement lors de la prochaine version du produit Programme d’ordinateur 4 sur la base du code 1, dans le produit Programme d’ordinateur 4 sur la base du code 1 vers le(s) destinataire(s) initial (initiaux) du (des) coumel(s) à risque.- Sending (sending) - or in other words referring (returning) - of the attachment (s) and / or file (s) / document (s) reintegrated / reintegrated (es) ) / reintegrated by the human (humans) or automatically during the next version of the product Computer program 4 on the basis of code 1, in the product Computer program 4 on the basis of code 1 to the initial recipient (s) of the risky account (s).

[0176] Notons qu’à ce stade, l’adresse (les adresses) électronique(s) du (des) destinataire(s) initial (initiaux) a (ont) déjà été sauvegardée(s) dans la mémoire (les mémoires) du produit Programme d’ordinateur 4 sur le base du code 1 ; et que l’adresse (les adresses) électronique(s) du (des) destinataire(s) initial (initiaux) a (ont) déjà été associé(s) à un (à des) numéro(s) déjà généré(s) par le produit Programme d’ordinateur 4 sur le base du code 1 ; et que ce(s) numéro(s) est (sont) appelé(s) ci-dessus numéro(s) d’immatriculation(s).Note that at this stage, the electronic address (es) of the initial recipient (s) has (have) already been saved in the memory (the memories) product Computer program 4 based on code 1; and that the e-mail address (es) of the initial recipient (s) has already been associated with a number (s) already generated by the product Computer program 4 on the basis of code 1; and that this (these) number (s) is (are) called (s) above registration number (s).

[0177] Neuvième fonction (fonction 9) du produit Programme d’ordinateur 4 sur la base du code 1 :[0177] Ninth function (function 9) of the Computer Program 4 product on the basis of code 1:

- envoi d’une (de) demande(s) - l’envoi d’une (de) demande(s) - de confirmation de (la) réception du (des) courriel(s) et pièce(s) / document(s) / fichier(s) jointe(s) / joint(s). Précisions que la (les) demande(s) de confirmation est (sont) envoyée(s) au(x) destinataire(s) initial/initiaux (donc également final / finaux) du (des) courriel(s) à risque.- sending of (a) request (s) - sending of (a) request (s) - of confirmation of (the) receipt of the email (s) and document (s) / document ( s) / attached file (s) / attached (s). Clarifications that the confirmation request (s) is (are) sent (s) to the initial / initial (therefore also final / final) recipient (s) of the email (s) at risk.

[0178] Dixième fonction (fonction 10) du produit Programme d’ordinateur 4 sur la base du code 1 :[0178] Tenth function (function 10) of the product Computer program 4 on the basis of code 1:

- suppression (la suppression), du (des) courriel(s) de la mémoire (des mémoires) du produit Programme d’ordinateur 4 sur la base du code 1, après que le (les) destinataires initial (initiaux) accuse(nt) - aient accusé - réception du (des) courriel(s) après le traitement anti piégeage du Procédé B.- deletion (deletion) of the email (s) from the memory (memories) of the product Computer program 4 on the basis of code 1, after the initial recipient (s) acknowledge (s) ) - have acknowledged - receipt of the email (s) after the anti-entrapment treatment of Method B.

[0179] Précisions que la confirmation de la réception via un accusé (des accusés) de réception « doit » inclure la confirmation de la bonne ouverture du (des) document(s), dit autrement du (des) fichier(s) /pièce(s) joint(s) / jointe(s) et de avant leur suppression de la CCR.Clarifications that the confirmation of receipt via an acknowledgment (of acknowledgments) of receipt "must" include confirmation of the correct opening of the document (s), in other words of the file (s) / document (s) attached (s) and / or before their removal from the CCR.

[0180] Voici ci-dessous la description du produit programme d’ordinateur 4 sur la base du code 2.Here is the description of the computer program product 4 based on the code 2.

[0181] Première fonction (ou fonction 1) du produit Programme d’ordinateur 4 sur la base du code 2 :First function (or function 1) of the product Computer program 4 on the basis of code 2:

- redirection (la redirection) automatique et systématique de tous les courriels reçus c’est à dire techniquement parlant : les courriels entrants - vers la CCR. Et ce dès leur réception (leur entrée). Les courriels ne sont donc pas (à ce stade) accessibles par le (les) - à (aux) - destinataire(s) des courriels.- automatic and systematic redirection (redirection) of all emails received, i.e. technically speaking: incoming emails - to the CCR. And this upon receipt (entry). The emails are therefore not (at this stage) accessible by the - to (the) - recipient (s) of the emails.

[0182] Deuxième fonction (ou fonction 2) du produit Programme d’ordinateur 4 sur la base du code 2 :[0182] Second function (or function 2) of the product Computer program 4 on the basis of code 2:

- analyse (l’analyse) d’un (des) courriel(s) reçu(s) - c’est à dire entrant(s) - sur la base de règles prédéfinies (codes informatiques) modifiables et identification (l’identification) « du (des) courriel(s) à risque » dans (sur) la CCR. Et ce avant de donner l’accès aux courriels (ou après mais nous préconisons avant) aux personnels travaillant sur (à) la CCR.- analysis (analysis) of one (s) email (s) received (i.e. incoming) - on the basis of predefined rules (computer codes) that can be modified and identification (identification) “At-risk email (s)” in (on) the CCR. And this before giving access to emails (or after but we recommend before) to staff working on (at) the CCR.

[0183] Rappelons que dans cette demande de brevet le(s) courrier(s) électronique(s) ayant (portant) dans son (leurs) contenu(s) - transportant - un ou plusieurs lien(s) hypertexte et/ou portant / transportant une ou plusieurs pièce(s) jointe(s) est (sont) également parfois appelé(s) : courriels à risque.[0183] Let us recall that in this patent application the electronic mail (s) having (bearing) in its (their) content (s) - carrying - one or more hypertext link (s) and / or bearing / carrying one or more attachment (s) is (are) also sometimes called (s): emails at risk.

[0184] Donc rappelons également que « courriel(s) à risque » veut dire : le(s) courrier(s) électronique(s) ayant (portant) dans son (leurs) contenu(s) - transportant - un ou plusieurs lien(s) hypertexte et/ou une ou plusieurs pièce(s) jointe(s).[0184] So let's also remember that "risky email (s)" means: electronic mail (s) having (bearing) in its (their) content (s) - carrying - one or more links (s) hypertext and / or one or more attachment (s).

[0185] Troisième fonction (ou fonction 3) du produit Programme d’ordinateur 4 sur la base du code 2 :[0185] Third function (or function 3) of the product Computer program 4 on the basis of code 2:

- collecte (la collecte) sur la CCP des courriels à risque. C’est à dire collecte du (des) courrier(s) électronique(s) ayant (portant) dans son (leurs) contenu(s) - transportant un ou plusieurs lien(s) hypertexte et/ou une ou plusieurs pièce(s) jointe(s).- collection (collection) on the CCP of emails at risk. That is to say collection of electronic mail (s) having (bearing) in its (their) content (s) - carrying one or more hypertext link (s) and / or one or more piece (s) ) attached.

[0186] Quatrième fonction (ou fonction 4) du produit Programme d’ordinateur 4 sur la base du code 2 :[0186] Fourth function (or function 4) of the product Computer program 4 on the basis of code 2:

- sauvegarde (la sauvegarde) du (des) courriel(s) à risque c’est à dire du (des) courrier(s) électronique(s) ayant (portant) dans son (leurs) contenu(s) - transportant un ou plusieurs lien(s) hypertexte et/ou une ou plusieurs pièce(s) jointe(s) ; ainsi que la sauvegarde de l’adresse électronique (des adresses électroniques) du (des) destinataire(s) associé(s). Notons que le(s) destinataire(s) associé(s) veut dire le (les) destinataire(s) du (des) courriel(s) à risque c’est à dire le (les) destinataire(s) du (des) courrier(s) électronique(s) ayant (portant) dans son (leurs) contenu(s) - transportant un ou plusieurs lien(s) hypertexte et/ou une ou plusieurs pièce(s) jointe(s).- backup (backup) of the risky email (s), that is to say of the email (s) having (bearing) in its (their) content (s) - carrying one or several hypertext link (s) and / or one or more attachment (s); as well as the backup of the email address (es) of the associated recipient (s). Note that the associated recipient (s) means the recipient (s) of the risky email (s), i.e. the recipient (s) of the ) electronic mail (s) having (bearing) in its (their) content (s) - carrying one or more hypertext link (s) and / or one or more attachment (s).

[0187] Cinquième fonction (optionnelle) - fonction 5 optionnelle - du produit Programme d’ordinateur 4 sur la base du code 2 :[0187] Fifth function (optional) - function 5 optional - of the Computer Program 4 product on the basis of code 2:

- octroi (l’octroi) - dit autrement génération (la génération) - d’un numéro d’immatriculation à (pour) chaque courriel sauvegardé et la sauvegarde de ce numéro d’immatriculation en l’associant dans la mémoire (les mémoires) du programme d’ordinateur 4 à l’adresse électronique (aux adresses électroniques) du (des) destinataire(s) du courriel. Notons que l’adresse électronique (les adresses électroniques) du (des) destinataire(s) est (sont) à ce stade déjà sauvegardée(s) dans la mémoire (les mémoires) du programme d’ordinateur 4 sur la base du code 2.- granting (granting) - in other words generation (generation) - of a registration number to (for) each e-mail saved and the saving of this registration number by associating it in the memory (the memories) from computer program 4 to the email address (es) of the email recipient (s). Note that the electronic address (e-mail addresses) of the recipient (s) is (are) at this stage already saved in the memory (memories) of computer program 4 on the basis of code 2 .

[0188] Sixième fonction (optionnelle) - fonction 6 optionnelle - du produit Programme d’ordinateur 4 sur la base du code 2 :[0188] Sixth function (optional) - function 6 optional - of the Computer Program 4 product on the basis of code 2:

- chiffrement (le chiffrement) du contenu (des contenus) du (des) courriel(s) à risque. C’est à dire le chiffrement du (des) contenu(s) du (des) courrier(s) électronique(s) ayant (portant) dans son (leurs) contenu(s) - transportant - un ou plusieurs lien(s) hypertexte et/ou une ou plusieurs pièce(s) jointe(s).- encryption (encryption) of the content (s) of the e-mail (s) at risk. That is to say the encryption of the content (s) of the electronic mail (s) having (bearing) in its (their) content (s) - carrying - one or more link (s) hypertext and / or one or more attachment (s).

[0189] Septième fonction (ou fonction 7) du produit Programme d’ordinateur 4 sur la base du code 2 :[0189] Seventh function (or function 7) of the product Computer program 4 on the basis of code 2:

- envoi (l’envoi) - ou dit autrement renvoi (le renvoi) - du (des) courriel(s) ne comportant dans (son) leurs contenu(s) ni une (des) pièce(s) jointe(s) ni un (des) lien(s) hypertexte vers le(s) destinataire(s) initial (initiaux) du (des) courriel(s).- sending (sending) - or in other words forwarding (forwarding) - of the email (s) not including in (its) their content (s) nor one (or more) attachment (s) nor one (s) hypertext link (s) to the initial recipient (s) of the email (s).

[0190] A ce stade, deux étapes « de traitement humain » sont nécessaires. Ces deux étapes de traitement humain sont appelées dans cette demande de brevet : étape 1 et étape 2.At this stage, two “human treatment” stages are necessary. These two stages of human treatment are called in this patent application: stage 1 and stage 2.

[0191] Précisons que ces deux étapes sont, dans cette première version, identiques dans le produit programme d’ordinateur 4 sur la base du Code 1 et dans le produit programme d’ordinateur 4 sur la base du code 2.It should be noted that these two steps are, in this first version, identical in the computer program product 4 on the basis of Code 1 and in the computer program product 4 on the basis of code 2.

[0192] Rappelons que ces deux étapes peuvent être automatisées.Remember that these two steps can be automated.

[0193] Et rappelons que l’automatisation de ces deux étapes est déjà prévue dans la prochaine version du produit programme d’ordinateur 4.And remember that the automation of these two stages is already planned in the next version of the computer program product 4.

[0194] Rappelons ces deux étapes.Let us recall these two stages.

[0195] L’étape 1 (étape 1) de traitement humain :Stage 1 (stage 1) of human treatment:

- un ou plusieurs humain(s), en fonction du volume de courriels à risque reçu par le (les) destinataire(s) du (des) courriel(s) à risques - présentant un risque d’infection(s) procède(nt) à l’ouverture (aux ouvertures) des pièces jointes au(x) courriel(s) à risque / fichier(s) joint(s) au(x) courriels à risque / documents joint(s) au(x) courriel(s) à risque ; et clique(ent) sur le (les) lien(s) hypertexte présent(s) dans le (les) contenu(s) des - ou dit autrement attachés au(x) - courriel(s) à risque ou dit autrement transporté(s) par le (les) courriel(s) à risque pour accéder au(x) document(s) / fichier(s) associé(s) ; et ce à partir du terminal (des terminaux) - ordinateur(s) par exemple, etc. - installé(s) et connecté(s) au(x) réseau(x) séparé(s) / isolé(s) / « réseau(x) CCR ». Ou dit autrement à partir de (sur) la CCR (la Centrale des Courriels à Risque).- one or more human (s), depending on the volume of risky emails received by the recipient (s) of the risky email (s) - presenting a risk of infection (s) proceed (s) ) at the opening (at the openings) of the attachments to the risk e-mail (s) / file (s) attached to the risk e-mail (s) / documents attached to the e-mail (s) s) at risk; and click (s) on the hypertext link (s) present in the content (s) of - or in other words attached to (e) email (s) at risk or said otherwise transported ( s) by risky email (s) to access the associated document (s) / file (s); and this from the terminal (terminals) - computer (s) for example, etc. - installed (s) and connected (s) to the separate / isolated / isolated network / "CCR network (s)". Or in other words from (on) the CCR (the Central Risk Mail).

[0196] L’étape 2 (étape 2) de traitement humain :Stage 2 (stage 2) of human treatment:

- un ou plusieurs humain(s), en fonction du volume de courriels à risque reçu par le destinataire (les destinataires) - utilisateur(s) du programme d’ordinateur 4 -, « procède(nt) à la réintégration dans le produit programme d’ordinateur 4 de la (des) pièce(s) jointe(s) déjà ouverte(s) sur le (les) réseau(x) séparé(s) isolé(s) - réseau(x) CCR - et des document(s) / fichier(s) / information(s) - récupéré(s) à partir du (des) lien(s) sur lequel (lesquels) l’humain (les humains) a (ont) cliqué à partir du réseau(x) séparé(s) isolé(s) / réseau(x) CCR. C’est à dire aussi : un ou plusieurs humain(s), en fonction du volume de courriels à risque reçu par la cible (les cibles) - utilisateur(s) du programme d’ordinateur 4 -, « procède(nt) à la réintégration dans le produit programme d’ordinateur 4 de la (des) pièce(s) jointe(s) déjà ouverte(s) sur le (les) réseau(x) séparé(s) isolé(s) / réseau(x) CCR et des document(s) / fichier(s) / information(s) - récupéré(s) à partir du (des) lien(s) sur lequel (lesquels) l’humain (les humains) a (ont) cliqué à partir du terminal (des terminaux) CCR / du terminal (des terminaux) séparés tels que décrits (et définis) dans cette demande de brevet ; et/ou des fichiers (documents) récupérés à partir du (des) lien(s) hypertexte se trouvant dans le (les) courriels à risque. Lors de cette étape 2, l’humain (les humains) associe(nt) le(s) fichier(s) et document(s) au(x) numéro(s) d’immatriculation du (des) courriel(s) l’(les) ayant transporté(s) dans leur(s) contenu(s).- one or more human (s), depending on the volume of at-risk e-mails received by the addressee (the addressees) - user (s) of the computer program 4 -, computer 4 of the attachment (s) already open on the separate isolated network (s) - CCR network (s) - and documents ( s) / file (s) / information (s) - retrieved from the link (s) on which the human (humans) clicked (s) from the network (x ) separate isolated (s) / CCR network (s). That is also to say: one or more human (s), depending on the volume of at-risk e-mails received by the target (targets) - user (s) of the computer program 4 -, "proceeds (s) to the reintegration into the computer program product 4 of the attachment (s) already open on the separate isolated network (s) / network (s) CCR and documents (s) / file (s) / information (s) - retrieved from the link (s) on which the human (humans) clicked from the CCR terminal (s) / separate terminal (s) as described (and defined) in this patent application; and / or files (documents) retrieved from the hypertext link (s) in the at-risk e-mail (s). During this step 2, humans (humans) associate (s) the file (s) and document (s) with the registration number (s) of the email (s) l '(the) having transported in their content (s).

[0197] Rappelons que ces deux étapes peuvent être automatisées.Remember that these two steps can be automated.

[0198] Et rappelons que l’automatisation de ces deux étapes est déjà prévue dans la prochaine version du produit programme d’ordinateur 4.And remember that the automation of these two steps is already planned in the next version of the computer program product 4.

[0199] Huitième fonction (fonction 8) du produit Programme d’ordinateur 4 sur la base du code 1 :[0199] Eighth function (function 8) of the product Computer program 4 on the basis of code 1:

- envoi (l’envoi) - ou dit autrement renvoi (le renvoi) - de la (des) pièce(s) jointe(s) et / ou fichier(s) / document(s) - réintégrés par l’humain (les humains) ou automatiquement lors de la prochaine version du produit Programme d’ordinateur 4 sur le base du code 2, dans le produit Programme d’ordinateur 4 sur le base du code 2 vers le(s) destinataire(s) initial (initiaux) du (des) courriel(s) à risque.- sending (the sending) - or in other words sending back (the sending back) - of the attachment (s) and / or file (s) / document (s) - reintegrated by humans (the human) or automatically in the next version of the Computer program 4 product based on code 2, in the Computer program 4 product based on code 2 to the initial recipient (s) (initials) risky email (s).

[0200] Notons qu’à ce stade, l’adresse (les adresses) électronique(s) du (des) destinataire(s) initial (initiaux) a (ont) déjà été sauvegardée(s) dans la mémoire (le mémoires) du produit Programme d’ordinateur 4 sur le base du code 2 ; et que l’adresse (les adresses) électronique(s) du (des) destinataire(s) initial (initiaux) a (ont) déjà été associée(s) à un (à des) numéro(s) déjà généré(s) par le produit Programme d’ordinateur 4 sur le base du code 2 ; et que ce(s) numéro(s) est (sont) appelé(s) ci-dessus numéro(s) d’immatriculation(s).Note that at this stage, the electronic address (es) of the initial recipient (s) has (have) already been saved in the memory (the memories) product Computer program 4 based on code 2; and that the email address (es) of the initial recipient (s) has (have) already been associated with one (s) already generated (s) by the product Computer program 4 on the basis of code 2; and that this (these) number (s) is (are) called (s) above registration number (s).

[0201] Neuvième fonction (fonction 9) du produit Programme d’ordinateur 4 sur la base du code 2 :[0201] Ninth function (function 9) of the Computer Program 4 product based on code 2:

- envoi d’une (de) demande(s) - l’envoi d’une (de) demande(s) - de confirmation de (la) réception du (des) courriel(s) et pièce(s) / document(s) / fichier(s) jointe(s) / joint(s). Précisions que la (les) demande(s) de confirmation est (sont) envoyée(s) au(x) destinataire(s) initial/initiaux (donc également final / finaux) du (des) courriel(s) à risque.- sending of (a) request (s) - sending of (a) request (s) - of confirmation of (the) receipt of the email (s) and document (s) / document ( s) / attached file (s) / attached (s). Clarifications that the confirmation request (s) is (are) sent (s) to the initial / initial (therefore also final / final) recipient (s) of the email (s) at risk.

[0202] Dixième fonction (fonction 9) du produit Programme d’ordinateur 4 sur le base du code 2 :[0202] Tenth function (function 9) of the product Computer program 4 on the basis of code 2:

-suppression (la suppression) du (des) courriel(s) de la mémoire du produit Programme d’ordinateur 4 sur le base du code 2 après que le (les) destinataires accuse(nt) - aient accusé - réception du (des) courriel(s) après son (leur) ouverture sur la CCP / sur un (des) réseau(x) isolé(s) / sur un (des) réseau(x) séparé(s) / nonsensible(s) c’est à dire aussi sur un terminal (des terrminaux) isolé(s) / séparé(s) / nonsensible(s).- deletion (deletion) of the email (s) from the memory of the product Computer program 4 on the basis of code 2 after the recipient (s) acknowledge (s) - have acknowledged - receipt of (the) email (s) after its (their) opening on the CCP / on an isolated network (s) / on a separate / non-responsive network (s) also say on an isolated terminal (terrestrial) / separate (s) / non-sensitive (s).

[0203] Précisons que la confirmation de la réception via un accusé de réception « doit » inclure la confirmation de la bonne ouverture du (des) document (s), dit autrement du (des) fichier(s) et ce avant leur suppression de la CCR.Note that the confirmation of receipt via an acknowledgment of receipt "must" include confirmation of the correct opening of the document (s), in other words of the file (s), before their deletion. the CCR.

[0204] Enfin, précisons que s’agissant du Procédé B et du produit programme d’ordinateur[0204] Finally, note that with regard to Method B and the computer program product

4, le(s) courrier(s) électronique(s) reçu(s) - c’est à dire courrier(s) électronique(s) entrant(s) - inclut (inclus) les courriers électroniques envoyés à la cible par une (des) personne(s) externe(s) et/ou les courriers électroniques envoyés à la cible (aux cibles) par un (des) utilisateur(s) inteme(s). Donc les courrier(s) électronique(s) reçu(s) - c’est à dire courrier(s) électronique(s) entrant(s) - inclut (inclus) les courriers électroniques envoyés à la cible (aux cibles) par le biais d’une (d’) adresse(s) électronique(s) exteme(s) et/ou inteme(s).4, the e-mail (s) received (i.e. incoming e-mail (s)) includes (included) e-mail sent to the target by a (of) external person (s) and / or e-mails sent to the target (s) by an internal user (s). So the e-mail (s) received (i.e. incoming e-mail (s)) includes (included) the e-mail sent to the target (to the targets) by the through an external and / or internal electronic address (es).

[0205] L’avantage du Procédé B et du produit programme d’ordinateur 4 qui met en oeuvre le Procédé B par rapport aux solutions existantes (antérieures) sont :The advantage of Method B and the computer program product 4 which implements Method B compared to existing (previous) solutions are:

- l’avantage indiscutable est la baisse du risque d’infection « à zéro ». Les infections/ virus/codes malveillants étant exécutables (c’est à dire étant opérationnels) seulement lors de l’ouverture de la (des) pièce(s) jointe(s) et/ou lors du cliquage sur le (les) lien(s) hypertexte. Et l’ouverture de la (des) pièce(s) jointe(s) et/ou le cliquage (action de cliquer) sur le(s) liens hypertexte est réalisée (sont réalisés) via le Procédé B et le produit programme d’ordinateur 4 loin du (des) réseau(x) et terminaux informatiques de la cible : sur un (des) réseau(x) - et terminaux - informatique(s) séparé(s) / isolé(s) et/ou sur un (des) réseau(x) - et terminaux - informatique(s) non-sensible(s) tel(s) que décrit(s) dans les descriptions du Procédé B et du produit programme d’ordinateur 4.- the indisputable advantage is the reduction in the risk of infection "to zero". The infections / viruses / malicious codes being executable (ie being operational) only when opening the attachment (s) and / or when clicking on the link (s) s) hypertext. And the opening of the attachment (s) and / or the click (click action) on the hypertext link (s) is carried out (are carried out) via Method B and the product program computer 4 far from the network (s) and target computer terminals: on a network (s) - and separate - isolated / computer terminals (s) and / or on a ( non-sensitive computer network (s) and terminals (s) as described in the descriptions of Method B and the computer program product 4.

[0206] Le troisième Procédé de l’invention est appelé dans ces documents Procédé C. Voici ci-dessous la description du Procédé C :The third Method of the invention is called in these documents Method C. Here is the description of Method C below:

[0207] Mais d’abord, rappelons, qu’un (des) attaquant(s) - pirate(s) - peut (peuvent) profiterBut first, remember, one (s) attacker (s) - hacker (s) - can (can) take advantage

- et profite(nt) généralement quand il(s) n’est pas (ne sont pas) novice(s) - d’un moment d’absence occasionnel (congé, etc.) ou peut (peuvent) provoquer - et provoque(nt) généralement quand il(s) a (ont) de la créativité - une (des) absence(s) d’un ou plusieurs utilisateur(s) légithne(s) sur un (des) réseau(x) - accident, invitation, rendez-vous, etc. -, pour générer une activité (des activités) à partir de son terminal (leurs terminaux) et/ou son adresse IP (leurs adresses IP).- and generally benefit (s) when he (s) is not (are not) a novice (s) - a moment of occasional absence (leave, etc.) or can (can) provoke - and provokes ( nt) generally when it (s) has (have) creativity - an absence (s) of one or more user (s) legitithne (s) on a network (s) - accident, invitation , appointments, etc. -, to generate an activity (activities) from its terminal (their terminals) and / or its IP address (their IP addresses).

[0208] Cette activité (ces activités) - c’est à dire en l’absence de l’utilisateur (des utilisateurs) légithne(s) - ne sera (seront) pas jugée(s) comme étant illégitime(s) - suspicieuse(s) - par l’outil (les outils) d’analyses car l’outil (les outils) d’analyses « qui détecte(nt) les doublons » ne détecteront pas de « doublons ». Doublon(s) c’est dire deux (ou plusieurs) adresses IP identiques générant une (des) activité(s) (opérant) sur un (des) réseau(x) à partir de deux (ou plusieurs) terminaux différents.This activity (these activities) - that is to say in the absence of the user (of the users) Legithne (s) - will not be (will) be judged as being illegitimate (s) - suspicious (s) - by the analysis tool (tools) because the analysis tool (tools) "which detects (s) duplicates" will not detect "duplicates". Duplicate (s) means two (or more) identical IP addresses generating one (of) activity (s) (operating) on one (s) network (s) from two (or more) different terminals.

[0209] Le Procédé C est un procédé de détection d’activité (s) / présence(s) illégitime(s) sur un (des) réseau(x) informatique(s) par la comparaison de (des) « données de présence(s) et/ou absence(s) physiques » des utilisateurs légitimes à des (aux) « données d’activité(s) informatique(s) des utilisateurs légithne(s) ». Notons qu’il est sollicité une protection sur ce qui suit :Method C is a method for detecting illegitimate activity (ies) / presence (s) on a computer network (s) by comparing “presence data” (s) and / or physical absence (s) "of legitimate users to" computer activity data (s) of legitithne (s) users ". Note that protection is sought on the following:

[0210] Le Procédé C comporte une sous étape Cl).Method C includes a sub-step Cl).

[0211] L’étape Cl) étant caractérisée par la détection sur un (des) réseau(x) informatique(s) d’une (d1) activité(s) illégitime(s) par la comparaison de (des) données de présence(s) / absence(s) physique(s) d’un utilisateur légitime (utilisateur légitime d’une adresse IP, à titre d’exemple non exclusif) à l’activité sur un (des) réseau(x) informatique(s) de ce même utilisateur légitime (de l’adresse IP de ce même utilisateur légitime, à titre d’exemple non exclusif).Step C1) being characterized by the detection on (one) computer network (s) of (d 1 ) illegitimate activity (ies) by the comparison of (the) data of presence (s) / physical absence (s) of a legitimate user (legitimate user of an IP address, as a non-exclusive example) to activity on a computer network (s) ( s) of this same legitimate user (of the IP address of this same legitimate user, as a non-exclusive example).

[0212] Un autre objet de l’invention est un dispositif de réalisation de défense contre les attaques informatiques sur la base du Procédé C, c’est à dire un dispositif de réalisation de défense contre les attaques informatiques caractérisé en (à) ce qu’il met en oeuvre le Procédé C et consistant en un produit programme d’ordinateur appelé produit programme d’ordinateur 5 dans cette demande de brevet.Another object of the invention is a device for carrying out defense against computer attacks on the basis of Method C, that is to say a device for carrying out defense against computer attacks characterized in (a) that 'it implements Method C and consisting of a computer program product called computer program product 5 in this patent application.

[0213] Le produit programme d’ordinateur appelé produit programme d’ordinateur 5 dans cette demande de brevet et caractérisé en ce qu’il met en oeuvre le Procédé C est :The computer program product called computer program product 5 in this patent application and characterized in that it implements Method C is:

- Un détecteur d’activité(s) illégitime(s) par la comparaison de l’activité d’une adresse IP sur un réseau informatique aux données de présences / absences physique de son utilisateur légitime. Ou dit autrement : un détecteur d’activité(s) illégitime(s) par la comparaison de l’activité d’une adresse IP sur un réseau informatique aux données de présences / absences physique de l’utilisateur légitime de cette même adresse IP.- An illegitimate activity detector (s) by comparing the activity of an IP address on a computer network with the physical presence / absence data of its legitimate user. Or put another way: an illegitimate activity detector (s) by comparing the activity of an IP address on a computer network with the physical presence / absence data of the legitimate user of this same IP address.

[0214] Ce détecteur est un produit programme d’ordinateur de détection d’activité(s) illégitime(s) sur un réseau (et de détection d’exploitation d’intrusion) par la comparaison (les comparaisons) de (des) données de présence(s) / absence(s) physique(s) des utilisateurs légitimes à des (aux) données d’activités informatiques des utilisateurs légitimes.This detector is a computer program product for detecting illegitimate activity (ies) on a network (and for detecting intrusion exploitation) by comparing (comparisons) of data. presence (s) / physical absence (s) of legitimate users of IT activity data of legitimate users.

[0215] Précisons que ce détecteur c’est à dire le produit programme d’ordinateur 5 met en oeuvre le Procédé C sur la base d’un procédé de codage - d’une logique de codage(s) informatique(s) - mais que d’autres procédés de codage(s) - logiques de codage(s) sont également possibles pour mettre en oeuvre le Procédé C via un ou plusieurs autre(s) produit(s) programme(s) d’ordinateur(s).It should be noted that this detector, that is to say the computer program product 5, implements Method C on the basis of a coding method - of computer coding logic (s) - but that other coding methods (s) - coding logic (s) are also possible to implement Method C via one or more other product (s) computer program (s).

[0216] Notons également que d’autres procédés de codage(s) - logiques de codage(s) mettant en oeuvre le Procédé C sont prévues dans la prochaine version du programme d’ordinateur 5.[0216] Note also that other coding methods (s) - coding logic (s) implementing Method C are planned in the next version of computer program 5.

[0217] Voici ci-dessous la description du produit programme d’ordinateur 5.Here is the description of the computer program product 5.

[0218] Le produit proramme d’ordinateur 5 détecte sur un (des) réseau(x) une (des) activité(s) illégitime(s) en comparant les (des) données de présence(s) / absence(s) physique(s) de l’utilisateur légitime d’une adresse IP à l’activité sur un réseau informatique de cette même adresse IP.The computer proramme product 5 detects illegitimate activity (ies) on a network (s) by comparing the physical presence (s) / absence (s) data (s) of the legitimate user of an IP address active on a computer network with the same IP address.

[0219] Première fonction (ou fonction 1) du produit programme d’ordinateur 5 :[0219] First function (or function 1) of the computer program product 5:

- mémorisation (la mémorisation) des (de) données que la cible (utilisateur du produit programme d’ordinateur 5) intègre dans la mémoire du programme d’ordinateur 5.- storage (storage) of (of) data that the target (user of the computer program product 5) integrates into the memory of the computer program 5.

[0220] C’est à dire le programme d’ordinateur 5 mémorise dans sa mémoire des données que la cible (utilisateur du produit programme d’ordinateur 5) lui intègre (doit lui intégrer).This means that the computer program 5 stores in its memory data that the target (user of the computer program product 5) integrates with it (must integrate with it).

[0221] Les données à intégrer dans cette première version du produit programme d’ordinateur 5 sont :[0221] The data to be integrated in this first version of the computer program product 5 are:

- a) l’adresse IP (ΓΙΡ) de chaque utilisateur légitime sur le(s) réseau(x) de la cible (utilisateur du produit programme d’ordinateur 5).- a) the IP address (ΓΙΡ) of each legitimate user on the target network (s) (user of the computer program product 5).

- b) le numéro de la carte d’accès - badge d’accès à titre d’exemple non exclusif, etc.- b) the number of the access card - access badge as a non-exclusive example, etc.

- de chaque utilisateur légitime sur le(s) réseau(x) de la cible (utilisateur du produit programme d’ordinateur 5) telle (tel) que enregistrée (enregistré) dans la base de données des points d’accès (portes d’accès à titre d’exemple non exclusif, etc.).- of each legitimate user on the target network (s) (user of the computer program product 5) as recorded in the access point database (gateways access as a non-exclusive example, etc.).

- c) le (les) numéro(s) d’immatriculation du (des) véhicule(s) de chaque utilisateur légitime sur le(s) réseau(x) de la cible (utilisateur du produit programme d’ordinateur 5).- c) the registration number (s) of the vehicle (s) of each legitimate user on the target network (s) (user of the computer program product 5).

[0222] Le programme d’ordinateur 5 associe à ce stade (c’est à dire lors de la mémorisation) les données b) et c) à la (aux) donnée(s) a).The computer program 5 associates at this stage (that is to say during storage) the data b) and c) with the data (s) a).

[0223] C’est à dire le programme d’ordinateur 5 associe le numéro de la carte d’accès badge d’accès, etc. - de l'utilisateur légitime sur le(s) réseau(x) informatique(s) telle (tel) que enregistrée (enregistré) dans la base de données des points d’accès (portes d’accès, etc.) ainsi que le (les) numéro(s) d’immatriculation du (des) véhicule(s) de l’utilisateur légitime sur le(s) réseau(x) informatique(s) à l’adresse IP (ΓΙΡ) octroyeé à ce même utilisateur légitime sur le(s) réseau(x).[0223] That is to say the computer program 5 associates the number of the access card, access badge, etc. - the legitimate user on the computer network (s) as registered as recorded in the database of access points (access doors, etc.) as well as the (the) registration number (s) of the vehicle (s) of the legitimate user on the computer network (s) at the IP address (ΓΙΡ) granted to the same legitimate user on the network (s).

[0224] Deuxième fonction (ou fonction 2) du produit Programme d’ordinateur 5 :[0224] Second function (or function 2) of the Computer Program 5 product:

- collecte (la collecte) via (par) un (des) accès qu’on donne (ouvre) au programme d’ordinateur 5 à ce que nous appelons dans cette demande de brevet et que nous définissons ci-dessous : les données de présences et d’absences physique d’un utilisateur légitime sur un (des) réseau(x) informatique(s).- collection (collection) via (by) one (of) access that we give (open) to the computer program 5 to what we call in this patent application and that we define below: attendance data and the physical absence of a legitimate user on a computer network (s).

[0225] C’est à dire le programme d’ordinateur 5 se connecte via (par) un (des) accès qu’on donne au programme d’ordinateur 5 à ce que nous appelons dans cette demande de brevet et que nous définissons ci-dessous : les données de présences et d’absences physique d’un utilisateur légitime sur un (des) réseau(x) et collecte les (des) données de présences et d’absences physique d’un utilisateur légitime sur un (des) réseau(x) informatique(s).That is to say the computer program 5 connects via (by) one (of) access that is given to the computer program 5 to what we call in this patent application and which we define here. below: data on the presence and physical absence of a legitimate user on a network (s) and collects the data on the presence and physical absence of a legitimate user on one (s) computer network (s).

[0226] Définition des données de présences et d’absences physique d’un utilisateur légitime sur un (des)réseau(x):Definition of the presence and physical absence data of a legitimate user on a network (s):

- les données de présences et d’absences physique d’un utilisateur légitime sur un (des) réseau(x) sont : toutes les données « informatisées » ou « à informatiser » concernant - relatives à - la présence et / ou l’absence physique d’un utilisateur légitime sur un (d’un) réseau.- the data of presence and physical absence of a legitimate user on one (of) network (s) are: all the data "computerized" or "to be computerized" concerning - relating to - the presence and / or absence of a legitimate user on a (a) network.

[0227] Dans cette première version du produit programme d’ordinateur 5 les données de présences et d’absences physique d’un utilisateur légitime sur un (des) réseau(x) informatique(s) sont :In this first version of the computer program product 5, the data for the presence and physical absence of a legitimate user on a computer network (s) are:

- a) les données des bases de données des accès (les points d’accès - les entrées / sorties) - portes d’accès à badges à titre d’exemple non exclusif, etc. - enregistrant (qui enregistrent) « l’entrée » et l’heure exacte de l’entrée ainsi que « la sortie » et l’heure exacte de sortie de l’utilisateur légitime. Les données des bases de données des accès (les points d’accès - les entrées / sorties) type portes d’accès (portes d’accès à badges, etc.) enregistrant (qui enregistrent) « l’entrée » et l’heure exacte de l’entrée ainsi que « la sortie » et l’heure exacte de sortie de l’utilisateur légitime sont appelées également parfois dans cette demande de brevet : Base de données 1 ou BDD1.- a) data from access databases (access points - inputs / outputs) - badge access doors as a non-exclusive example, etc. - recording (which record) "the entry" and the exact time of entry as well as "the exit" and the exact time of exit of the legitimate user. Access database data (access points - entrances / exits) such as access doors (badge access doors, etc.) recording (which record) "entry" and time exact entry as well as "exit" and the exact exit time of the legitimate user are also sometimes called in this patent application: Database 1 or BDD1.

- b) Les données de la (des) caméra(s) de surveillance - dite intelligente(s) - du (des) parking(s) enregistrant (qui enregistrent) « l’entrée » et l’heure exacte d’entrée ainsi que la sortie et l’heure exacte de sortie du véhicule de (des) utilisateur (utilisateurs). Une caméra de surveillance - dite intelligente - est une caméra de surveillance qui retranscrit - repère et/ou identifie et/ou notent dans une (des) base(s) de données le numéro de la plaque d’immatriculation d’une voiture en la filmant c’est à dire aussi une caméra qui repère et/ou identifie et/ou enregistre sous la forme de chiffres et de lettres dans une (des) base(s) de données le numéro de la plaque d’immatriculation d’une voiture en la filmant. Les données des caméras de surveillance (dites intelligentes) du (des) parking(s) enregistrant (qui enregistrent) « l’entrée » et l’heure exacte d’entrée ainsi que la sortie et l’heure exacte de sortie du véhicule de l’utilisateur (des utilisateurs) sont appelées également parfois dans cette demande de brevet : Base de données 2 ou BDD2.- b) The data of the surveillance camera (s) - called intelligent (s) - of the parking lot (s) recording (which record) "the entry" and the exact time of entry as well that the exit and the exact time of exit from the vehicle of the user (s) A surveillance camera - called intelligent - is a surveillance camera which transcribes - identifies and / or identifies and / or notes in a database (s) the number of the license plate of a car by filming, that is to say also a camera which locates and / or identifies and / or records in the form of numbers and letters in a database the number of the number plate of a car by filming it. The data from the (so-called intelligent) surveillance cameras of the parking lot (s) recording (which record) "the entry" and the exact time of entry as well as the exit and the exact time of exit from the user (of users) are also sometimes called in this patent application: Database 2 or BDD2.

[0228] Troisième fonction (ou fonction 3) du produit Programme d’ordinateur 5 :[0228] Third function (or function 3) of the Computer Program 5 product:

- collecte (la collecte) via (par) un (des) accès qu’on donne au programme d’ordinateur 5 à ce que nous appelons dans cette demande de brevet : les données d’activités informatiques d’un (des) utilisateur(s) sur un (des) réseau(x) informatique(s).- collection (collection) via (by) one (of) access that is given to the computer program 5 to what we call in this patent application: the data of computer activities of one (of) user (s) s) on a computer network (s).

[0229] C’est à dire, le programme d’ordinateur 5 se connecte via (par) un (des) accès qu’on donne au programme d’ordinateur 5 à ce que nous appelons dans cette demande de brevet : les données d’activités informatiques d’un (des) utilisateur(s) sur un (des) réseaux). Et ce pour récupérer les logs indiquant (qui indiquent) l’activité ou (l’absence d’activité) d’une adresse IP (ou dit autrement l’activité venant - en provenance - d’une IP).That is to say, the computer program 5 is connected via (by) one (of) access which is given to the computer program 5 to what we call in this patent application: the data of 'IT activities of a user (s) on a network (s)). This is to retrieve the logs indicating (which indicate) the activity or (the absence of activity) of an IP address (or in other words the activity coming from - coming from - an IP).

[0230] Les logs indiquent au moment même quelle(s) IP est (sont) active(s) sur le(s) réseau(x) et quelle(s) IP est (sont) inactive(s). C’est dire les logs indiquent au moment même quelle(s) IP est (sont) en activité - génère(nt) une activité - sur le(s) réseau(x) informatique^) et quelle(s) IP est (sont) inactive(s) - c’est à dire quelle(s) adresse(s) IP ne génère(nt) pas d’activité sur le(s) réseau(x).The logs indicate at the same time which IP (s) is (are) active (s) on the network (s) and which IP (s) is (are) inactive (s). In other words, the logs indicate at the same time which IP (s) is (are) active - generates (s) activity - on the computer network (s) ^) and which IP (s) is (are ) inactive (s) - that is, which IP address (es) does not generate activity on the network (s).

[0231] Donc, les données d’activités informatiques d’un (des) utilisateur (utilisateurs) sur un (des) réseau(x) informatiques sont, techniquement parlant, dans cette première version du produit programme d’ordinateur 5 : les logs.Therefore, the data of computer activities of a user (s) on a computer network (s) are, technically speaking, in this first version of the computer program product 5: the logs .

[0232] Dans cette première version du produit programme d’ordinateur 5 les données d’activités informatiques d’un utilisateur (des utilisateurs) sur un réseau (des réseaux) les logs - sont à récupérer par le programme d’ordinateur 5 via des capteurs de logs à installer sur le(s) réseau(x) de l’utilisateur du produit programme d’ordinateur 5 (la cible). C’est à dire que la récupération des logs est réalisée via des capteurs de logs à installer sur le(s) réseau(x) de l’utilisateur du produit programme d’ordinateur 5 (la cible).In this first version of the computer program product 5, the computer activity data of a user (of the users) on a network (of networks), the logs - are to be retrieved by the computer program 5 via log sensors to be installed on the network (s) of the user of the product computer program 5 (the target). That is to say that the log recovery is carried out via log sensors to be installed on the network (s) of the user of the computer program product 5 (the target).

[0233] La récupération (la collecte) des logs peut s’effectuer également (est réalisée également) par une connexion aux bases de données des outils (logiciels programmes) SIEM ou dit autrement peut s’effectuer également (est réalisée également) par une connexion aux données des outils (logiciels - programmes) appelés d’analyse SIEM (décrits dans le début de cette demande de brevet).The recovery (collection) of the logs can also be carried out (is also carried out) by a connection to the databases of the tools (software programs) SIEM or in other words can also be carried out (is also carried out) by a connection to data from tools (software - programs) called SIEM analysis (described in the beginning of this patent application).

[0234] Car en cas de présence d’outils (logiciels - programmes) SIEM chez la cible, la connexion aux données (logs) des outils SIEM a pour but d’éviter de réinstaller inutilement des capteurs de logs étant donné que ces derniers (c’est dire des capteurs de logs) sont déjà installés pour l’analyse SIEM.Because in the event of the presence of SIEM tools (software - programs) at the target, the connection to the data (logs) of the SIEM tools is intended to avoid unnecessarily reinstalling log sensors since the latter ( i.e. log sensors) are already installed for SIEM analysis.

[0235] Les données d’activités informatiques d’un utilisateur (des utilisateurs) sur un réseau (des réseaux) informatique(s) - les logs - qu’elles soient récupérées directement par des capteurs dédiés ou récupérées dans les données des programmes d’analyse SIEM dotés de capteurs sont également parfois appelées dans cette demande de brevet : Base de données 3 ou BDD3.The data of computer activities of a user (of the users) on a network (of networks) computer (s) - the logs - that they are recovered directly by dedicated sensors or recovered in the data of the programs of SIEM analysis with sensors are also sometimes called in this patent application: Database 3 or BDD3.

[0236] Les numéros d’IP actives dans la base de données 3 (BDD3) sont appelés dans cette demande de brevet : IP-Actives-BDD3.[0236] The active IP numbers in database 3 (BDD3) are called in this patent application: IP-Actives-BDD3.

[0237] Quatrième fonction du produit programme d’ordinateur 5 :[0237] Fourth function of the computer program product 5:

- actualisation des données de BDD1 et BDD2 et BDD3. Nous préconisons une actualisation toutes les « trente seconds ». Sinon toutes les « X secondes » tel que X est un nombre entier à définir par l’utilisateur du produit programme d’ordinateur 5.- updating of data from BDD1 and BDD2 and BDD3. We recommend updating every “thirty seconds”. Otherwise every "X seconds" such that X is an integer to be defined by the user of the computer program product 5.

[0238] Cinquième fonction du produit programme d’ordinateur 5 :[0238] Fifth function of the computer program product 5:

- comparaison (la comparaison) des données collectées de BDD1 et BDD2 aux données de BDD3. C’est à dire la comparaison des données de BDD1 et BDD2 aux données de BDD3.- comparison (comparison) of the data collected from BDD1 and BDD2 with data from BDD3. That is, comparing the data from BDD1 and BDD2 to the data from BDD3.

[0239] C’est à dire, le programme d’ordinateur compare les données collectées de BDD1 et BDD2 aux données de BDD3 et envoi une alerte si une adresse IP (des adresses IP) d’un (ou plusieurs) utilisateur(s) est (sont) active(s) sur un réseau informatique - c’est à dire génère(nt) une activité sur un réseau informatique, c’est à dire est (sont) à l’origine d’activité sur un réseau informatique, et que la base de données BDD1 et/ou la base de données BDD2 indique(nt) une sortie et/ou absence physique de rutilisateur légitime dont l’adresse IP est signalé Active dans la base de données BDD3.That is to say, the computer program compares the data collected from BDD1 and BDD2 with the data from BDD3 and sends an alert if an IP address (IP addresses) of one (or more) user (s) is (are) active on a computer network - i.e. generates (s) activity on a computer network, i.e. is (are) at the origin of activity on a computer network, and that the database BDD1 and / or the database BDD2 indicates (s) an exit and / or physical absence of a legitimate user whose IP address is indicated Active in the database BDD3.

[0240] C’est à dire, le programme d’ordinateur compare les données collectées de BDD1 et BDD2 aux données de BDD3 et envoi une alerte si une ou plusieurs IP figure(nt) parmi les numéros (dans la base de données des) IP-Actives-BDD3 ; IP-Actives-BDD3 telles que définies ci-dessus et que la base de données BDD1 et/ou BDD2 indique(nt) une sortie et/ou une absence physique de rutilisateur légitime de l’adresse IP active (de l’adresse IP figurant dans la base de données de IP-Actives-BDD3).That is to say, the computer program compares the data collected from BDD1 and BDD2 with the data from BDD3 and sends an alert if one or more IPs appear (s) among the numbers (in the database of) IP-Actives-BDD3; IP-Actives-BDD3 as defined above and that the database BDD1 and / or BDD2 indicates (s) an exit and / or a physical absence of legitimate user of the active IP address (of the listed IP address in the database of IP-Actives-BDD3).

Claims (1)

[Revendication 1][Claim 1] RevendicationsClaims Procédé de défense d’un réseau comprehensible / lisible, statique, figé dans le temps, et passif, contre les attaques et/ou menaces informatiques, caractérisé en ce qu’il comporte les étapes suivantes :Method for defending an understandable / readable, static, frozen in time, and passive network against computer attacks and / or threats, characterized in that it comprises the following steps: - l’étape 1),- step 1), Transformation virtuelle d’un réseau - ou dit autrement transformation de l’apparence d'un réseau - compréhensible / lisible par un gonflage virtuel ou une déformation virtuelle d’un (de) réseau(x). La transformation virtuelle - transformation de l’apparence - d'un réseau comprehensible / lisible peut être également réalisée par la création d’un ou plusieurs réseau(x) virtuel(x) par le biais d’un ou plusieurs code(s) informatique(s) pour inclure par la suite un ou plusieurs réseau(x) réel(x) dans un ou plusieurs réseau(x) virtuel(s) crée(s).Virtual transformation of a network - or in other words transformation of the appearance of a network - understandable / readable by virtual inflation or virtual deformation of a network (s). The virtual transformation - transformation of the appearance - of an understandable / readable network can also be carried out by the creation of one or more virtual network (s) by means of one or more computer code (s) (s) to subsequently include one or more real network (s) in one or more virtual network (s) created. - l’étape 2),- step 2), Transformation virtuelle, ou dit autrement, transformation de l’apparence d'un réseau « statique » et « figé / invariable dans le temps » en un réseau « virtuellement dynamique, variable et aléatoire dans le temps ». La transformation virtuelle, ou dit autrement, transformation de l’apparence d'un réseau « statique » et « figé dans le temps » en un réseau « virtuellement dynamique et aléatoire dans le temps » est réalisée par la mise en place d’une ou plusieurs configuration(s) changeantes dans le temps d’un ou plusieurs réseau(x) virtuel(x) icluant un (des) réseau(x) réels. La dynamicité d’un réseau et la transformation de sa caractéristique invariable en caratéristique variable et aléatoire s’effectuent donc grâce au fait que les configurations sont changeante(s) et / ou aléatoire(s) dans le temps.Virtual transformation, or in other words, transformation of the appearance of a "static" and "frozen in time" network into a "virtually dynamic, variable and random in time" network. The virtual transformation, or in other words, transformation of the appearance of a “static” and “frozen in time” network into a “virtually dynamic and random in time” network is carried out by setting up one or more several changing configuration (s) over time of one or more virtual network (s) icluding one (or more) real network (s). The dynamicity of a network and the transformation of its invariable characteristic into variable and random characteristics therefore take place thanks to the fact that the configurations are changing (s) and / or random (s) over time. - l’étape 3),- step 3), Transformation de la caractéristique passive d’un réseau en caractéristique passive/active « lors du questionnement d’un réseau par une ou plusieurs requête(s) informatique(s) ou lors du questionnement d’un ou plusieurs équipement(s) informatique(s) par des requêtes. La transformation de la caractéristique passive lors du questionnement par des requêtes est réalisée par l’émission, lors des questionnements / des requêtes), de fausses informations et/ou fausses vulnérabilités / failles. L’émission de fausses informations / fausses vulnérabilités / fausses failles lors des questionnements d’un réseau informatique par une ou plusieurs requête(s) informatique(s) se réalise par le biais de l’ajout à unTransformation of the passive characteristic of a network into a passive / active characteristic "when questioning a network by one or more IT request (s) or when questioning one or more IT equipment (s) ) by requests. The transformation of the passive characteristic during questioning by requests is carried out by the emission, during questioning / requests), of false information and / or false vulnerabilities / flaws. The issue of false information / false vulnerabilities / false flaws during questioning of a computer network by one or more computer request (s) is achieved through the addition to a réseau d’un ou plusieurs codes informatiques crées à cette fin. network of one or more computer codes created for this purpose. [Revendication 2] [Claim 2] Procédé selon la revendication 1 caractérisé en ce que dans l’étape 1), la transformation virtuelle et/ou le gonflage virtuel et/ou la déformation virtuelle d’un réseau, c’est à dire aussi la transformation virtuelle et/ou le gonflage virtuel et/ou la déformation virtuelle de l’infrastructure ou des infrastructures d’un réseau est (sont) réalisé(s) « par le clonage de l’infrastructure informatique » d’un réseau et/ou « par le clonage des équipements informatiques d’un réseau informatique » tels que et ce à titre d’exemple mais non exclusif : les terminaux, les ordinateurs, les serveurs, les imprimantes, les points d’accès wifi, les IP, etc. Method according to claim 1 characterized in that in step 1), the virtual transformation and / or the virtual inflation and / or the virtual deformation of a network, that is to say also the virtual transformation and / or the inflation virtual and / or virtual deformation of the infrastructure or infrastructures of a network is (are) achieved "by cloning the IT infrastructure" of a network and / or "by cloning IT equipment of a computer network "such as and this by way of example but not exclusive: terminals, computers, servers, printers, wifi access points, IPs, etc. [Revendication 3] [Claim 3] Procédé selon la revendication 1 caractérisé en ce que dans l’étape 1), la transformation virtuelle et/ou le gonflage virtuel et/ou la déformation virtuelle d’un réseau par un Clonage d’un réseau et/ou par un Clonage de l’infrastructure d’un réseau informatique et/ou des équipements informatiques « est (sont) réalisée(s) par la création de X clones pour un réseau et/ou par la création de X Clones pour chaque équipement informatique ou par la création de X clones pour une partie des équipements informatiques. Method according to claim 1 characterized in that in step 1), the virtual transformation and / or the virtual inflation and / or the virtual deformation of a network by a cloning of a network and / or by a cloning of the 'infrastructure of a computer network and / or IT equipment' is (are) created by the creation of X clones for a network and / or by the creation of X Clones for each IT equipment or by the creation of X clones for part of the IT equipment. [Revendication 4] [Claim 4] Procédé selon la revendication 1 caractérisé en ce que après l’étape 1) de gonflage, de déformation et d’amplification et/ou de création d’un ou plusieurs réseau(x) virtuel(s) par le biais d’un ou plusieurs code(s) informatique(s) pour inclure par la suite un ou plusieurs réseau(x) réel(x) dans un ou plusieurs réseau(x) virtuel(s) crée(s), est réalisée une étape de création et d’installation de « Mines » sur les clones et/ou sur le(s) réseau(x) virtuel(x) qui englobe(nt) un (des) réseau(x) réel(s). Method according to claim 1 characterized in that after step 1) of inflation, deformation and amplification and / or creation of one or more virtual network (s) by means of one or more computer code (s) to subsequently include one or more real network (s) in one or more virtual network (s) created, a creation and installation of "Mines" on the clones and / or on the virtual network (s) which includes (s) a real network (s). [Revendication 5] [Claim 5] Procédé selon la revendication 1 caractérisé en ce que l’étape 1) comporte en outre une sous étape al), L’étape al) étant une génération et un maintien d’une activité virtuelle par l’ajout d’un ou plusieurs codes informatiques crées à cette fin, dans un réseau, gonflé et déformé par Clonage, ou dans un réseau gonflé et déformé par le biais de l’ajout à un réseau d’un ou plusieurs code(s) informatique(s) créant un (des) réseau(x) et/ou équipement(s) informatique(s) virtuel(s) pour englober un ou plusieurs réseaux réels. L’étape al) est également réaliseable par une amplification virtuelle d’ une (des) activité(s) réelle(s) d’un réseau appelée aussi le trafic d’un réseau réel et le mantien de cette activité amplifiée par le biais de l’ajout à un réseau d’un ou plusieurs code(s) informatique(s) crées à cette fin. Method according to claim 1 characterized in that step 1) further includes a sub-step a1), Step a1) being a generation and maintenance of a virtual activity by adding one or more computer codes created for this purpose, in a network, inflated and deformed by Cloning, or in a network inflated and deformed by through the addition to a network of one or more computer code (s) creating a network (s) and / or virtual computer equipment (s) to include one or more several real networks. Step a1) can also be carried out by a virtual amplification of one (or more) real activity (ies) of a network also called the traffic of a real network and the mantian of this activity amplified by means of the addition to a network of one or more computer code (s) created for this purpose. [Revendication 6] [Claim 6] Procédé selon la revendication 1 caractérisé en ce que l’étape 3) Method according to claim 1 characterized in that step 3)
comporte en outre une sous étape a3), L’étape a3) est caractérisée par «un brouillage» et « un biaisage » des résultats des questionnements d’un réseau informatique ou des équipements informatiques d’un réseau informatique lors de l’envoi vers ce réseau informatique d’une ou plusieurs requête(s) informatique(s). further includes a sub-step a3), Step a3) is characterized by “scrambling” and “biasing” the results of questions from a computer network or from the computer equipment of a computer network when one or more requests are sent to this computer network. (s) IT. [Revendication 7] [Claim 7] Procédé selon la revendication 1 caractérisé en ce que dans l’étape a3), le brouillage et le biaisage des résultats des questionnements d’un réseau informatique par des requêtes informatiques est (sont) réalisé(s) « par saturation / par noyade ». Et ce « par une émission lors des questionnements et des requêtes de fausses informations » et/ou « fausses vulnérabilités » pour biaiser les résulats des requêtes informatiques qui questionnent un réseau informatique. L’émission d’un grand nombre ou de préférence un très grand nombre de fausses informations » et/ou « fausses vulnérabilités » permet de « saturer les résultats et les réponses » et ainsi « noyer les vraies réponses et vulnérabilités dans une très grande quantité de fausses réponses et vulnérabilités ». A method according to claim 1 characterized in that in step a3), the scrambling and biasing of the results of the interrogations of a computer network by computer requests is (are) carried out "by saturation / by drowning". And this "by a broadcast during questioning and requests for false information" and / or "false vulnerabilities" to bias the results of computer requests that question a computer network. The emission of a large number or preferably a very large number of false information "and / or" false vulnerabilities "makes it possible to" saturate the results and the responses "and thus" drown the real responses and vulnerabilities in a very large quantity false answers and vulnerabilities ”. [Revendication 8] [Claim 8] Procédé selon la revendication 1 caractérisé en ce que dans l’étape a3), le brouillage par saturation / par noyade est réalisé par l’émission d’un grand nombre de fausses informations et vulnérabilités concernant un réseau et les équipements associés à un réseau par le biais de l’ajout à un réseau d’un ou plusieurs code(s) informatique(s) programmés pour émettre un grand nombre de fausses informations et vulnérabilités à chaque requête reçue par un réseau informatique ou par un équipement informatique d’un réseau informatique. A method according to claim 1 characterized in that in step a3), the jamming by saturation / by drowning is carried out by the emission of a large number of false information and vulnerabilities concerning a network and the equipment associated with a network by through the addition to a network of one or more computer code (s) programmed to send a large number of false information and vulnerabilities to each request received by a computer network or by computer equipment on a network computer science. [Revendication 9] [Claim 9] Procédé selon la revendication 1 caractérisé en ce que dans l’étape a3), le brouillage par saturation / par noyade est réalisé également par l’émission de manière aléatoire à chaque requête d’un grand nombre de fausses informations et vulnérabilités concernant un réseau et les équipements associés à un réseau. Et ce par l’ajout au(x) code(s) informatique(s), d’un ou plusieurs algorithme(s) qui modifie(nt) de manière aléatoire les fausses vulnérabilités à émettre. Method according to Claim 1, characterized in that in step a3), the jamming by saturation / by drowning is also carried out by the random emission at each request of a large number of false information and vulnerabilities concerning a network and equipment associated with a network. And this by adding to the computer code (s), one or more algorithm (s) which randomly modify the false vulnerabilities to be issued. [Revendication 10] [Claim 10] Procédé selon la revendication 1 caractérisé en ce que dans l’étape a3), le brouillage par saturation / par noyade est réalisé par l’ajout d’un grand nombre de fausses vulnérabilités ou failles sur un (des) réseau(x) virtuel(s) crée(s) par gonflage virtuel (par Clonage à titre d’exemple non exclusif) ou par code(s) informatique(s), par l’émission systématique dans ce cas de fausses vulnérabilités par effet mécanique de l’ajout des fausse(s) vulnérabilités dans le réseau gonfler virtuellement et/ou dans Method according to claim 1 characterized in that in step a3), the jamming by saturation / by drowning is carried out by the addition of a large number of false vulnerabilities or faults on a virtual network (s) ( s) created by virtual inflation (by Cloning by way of nonexclusive example) or by computer code (s), by the systematic emission in this case of false vulnerabilities by mechanical effect of the addition of false vulnerabilities in the network virtually inflate and / or
[Revendication 11] [Revendication 12] le(s) réseau(x) virtuel(s) crée(s) par code informatique et qui englobe(nt) le(s) réseau(x) réel(s). Dans ce cas, l’émission de manière aléatoire est également possible par le biais de l’ajout d’un ou plusieurs algorithme(s) qui modifie(nt) de manière aléatoire les fausses vulnérabilités ajoutées et leurs emplacements dans un réseau gonflé par clonage ou dans un (des) réseau(x) virtuel(x) crée(s) par code(s) informatique(s) et qui englobe(nt) un (des) réseau(x) réel(s).[Claim 11] [Claim 12] the virtual network (s) created by computer code and which includes (s) the real network (s). In this case, random transmission is also possible through the addition of one or more algorithm (s) that randomly modify the false vulnerabilities added and their locations in a network inflated by cloning or in a virtual network (s) created by computer code (s) and which includes (s) a real network (s). Trois programmes d’ordinateur appelés dans cette demande de brevet : le programme d’ordinateur 1, le programme d’ordinateur 2 et le programme d’ordinateur 3, comprenant des instructions de code qui, lorsqu’elles sont exécutées sur un processeur, réalisent les étapes du Procédé A selon l’une ou plusieurs des revendications 1 à 9.Three computer programs called in this patent application: computer program 1, computer program 2 and computer program 3, comprising code instructions which, when executed on a processor, carry out the steps of Method A according to one or more of claims 1 to 9. Procédé de défense contre le(s) courrier(s) électronique(s) dit courriels courriel au singulier - dit piégé(s) par la présence de code(s) malveillants) ou par la présence de virus / infection(s) /code(s) malveillants dans une pièce jointe ou des pièces jointes à son (leurs) contenu(s) ou dans un (des) lien(s) hypertexte de son (leurs) contenu(s) par une nouvelle stratégie appelée stratégie d’ouverture en milieu - sur un réseau informatique - séparé / isolé ou à défaut en milieu - sur un (des) réseau(x) informatique(s) et/ou sur un (des) équipement(s) informatique(s) - non-sensible(s). L’ouverture des pièces jointes et le cliquage (action de cliquer) s’effectue donc aussi sur un terminal (des terminaux) informatique(s) séparé(s) / isolé(s) ou à défaut non sensible(s). Un réseau (des réseaux) informatique(s) isolé(s), séparé(s) veut dire : un (des) réseau(x) - informatique(s) - séparé(s) / isolé(s) du (des) réseau(x) informatique(s) de la cible (des cibles). Un réseau (des réseaux) informatique(s) isolé(s), séparé(s) peut (peuvent) également être substitué(s) par un réseau (des réseaux) informatique(s) et/ou un (des) terminal (terminaux) non-sensible(s). Un réseau (des réseaux) informatique(s) non-sensible(s) veut dire un réseau (des réseaux) qui en cas d’infection dessus (dedans), ne cause(nt) pas - ne présente(nt) pas un (des) risque(s) majeur(s) ou significatif^) et/ou un (des) dommage(s) majeur(s) ou significatif^) pour la cible (une cible). Un terminal (des terminaux) informatique(s) non-sensible(s) c’est à dire un terminal (des terminaux) qui en cas d’infection dessus (dedans), ne cause(nt) pas - ne présente(nt) pas - un (des) risque(s) majeur(s) ou significatif^) et/ou (un) des dommage(s) majeur(s) ou significatif^) pour la cible (une cible). Ce Procédé de défense contre le(s) courrier(s) électronique(s) dit courriels - courriel au singulier - dit piégé(s) est caractérisé en ce qu’il comporte les étapes suivantes :Defense method against electronic mail (s) known as singular e-mail - known as trapped by the presence of malicious code (s)) or by the presence of virus / infection (s) / code (s) malicious in an attachment or attachments to its (their) content (s) or in a hyperlink (s) of its (their) content (s) by a new strategy called opening strategy in the middle - on a computer network - separate / isolated or failing that in the middle - on a computer network (s) and / or on computer equipment (s) - non-sensitive (s). The opening of the attachments and the clicking (click action) is therefore also carried out on a computer terminal (s) separate (isolated) or, failing that, not sensitive. An isolated, separate computer network (s) means: one (s) - computer network (s) - separate / isolated from the network (s) (x) IT (s) of the target (targets). An isolated, separate computer network (s) may also be substituted by a computer network (s) and / or a terminal (terminals) ) non-sensitive. A non-sensitive computer network (s) means a network (networks) which, if infected above (inside), do not cause - do not have ( major or significant risk ^ and / or major or significant damage to the target (a target). A non-sensitive computer terminal (s) i.e. a terminal (terminals) which in the event of infection on (inside), does not cause (s) - does not present (s) no - major or significant risk (s) ^ and / or (major or significant damage (s) ^) to the target (a target). This method of defense against electronic mail (s) known as e-mails - e-mail in the singular - said trapped (s) is characterized in that it comprises the following stages: - l’étape 1), l’identification et/ou la collecte manuelle (par un humain) et/ou par analyse (automatisée) sur la base de règles et équations prédéfinies (codes informatiques prédéfinis), des courriels transportant et/ou comportant dans leurs contenus une pieces ou des pièces jointes et/ou un (des) lien(s) hypertexte.- step 1), identification and / or manual collection (by a human) and / or by (automated) analysis on the basis of predefined rules and equations (predefined computer codes), emails carrying and / or comprising in their content a piece or attachments and / or a hypertext link (s). - l’étape 2), l’ouverture de la (des) pièce(s) jointe(s) et le cliquage (action qui consiste à cliquer) sur le(s) lien(s) hypertexte à partir d’un environnement / milieu / réseau isolé (séparé) ou à défaut à partir d’un environnement / milieu / réseau non-sensible. Techniquement, cela se traduit par une ouverture ou au moins une première ouverture de la (des) pièce(s) jointe(s) et le cliquage (action qui consiste à cliquer) sur le(s) lien(s) hypertexte sur un (à partir d’un) ou plusieurs réseau(x) isolé(s) / séparé du (des) réseau (x) informatique(s) de la cible ou à défaut à partir d’un environnement / milieu / réseau non-sensible.- step 2), the opening of the attachment (s) and the clicking (action which consists in clicking) on the hypertext link (s) from an environment / medium / network isolated (separate) or failing this from a non-sensitive environment / medium / network. Technically, this results in an opening or at least a first opening of the attachment (s) and the clicking (action which consists of clicking) on the hypertext link (s) on a ( from one or more isolated network (s) / separate from the target computer network (s) or, failing this, from a non-sensitive environment / medium / network. Techniquement, cela se traduit par une ouverture ou au moins une première ouverture de la (des) pièce(s) jointe(s) et le cliquage (action qui consiste à cliquer) sur le(s) lien(s) hypertexte sur un (à partir d’un) ou (de) plusieurs terminal (terminaux) - ordinateur(s) par exemple, etc. isolés / séparés du (des) réseau (x) informatique(s) de la cible. Un terminal (terminaux) - ordinateur(s) par exemple, etc. - isolés / séparés du (des) réseau (x) (-informatiques sont techniquement un terminal (terminaux) - ordinateur(s) par exemple - connecté(s) / branché(s) / installé(s) à (sur) un (des) réseau(x) séparé(s) / isolé(s).Technically, this results in an opening or at least a first opening of the attachment (s) and the clicking (action which consists of clicking) on the hypertext link (s) on a ( from one) or (from) several terminal (terminals) - computer (s) for example, etc. isolated / separated from the target computer network (s). A terminal (terminals) - computer (s) for example, etc. - isolated / separated from the network (s) (- IT is technically a terminal (terminals) - computer (s) for example - connected (s) / connected (s) / installed (s) at (on) a ( of) separate / isolated network (s). - l’étape 3), le renvoi des fichiers et/ou données récupérés à partir du (des) lien(s) hypertexte et/ou de la (des) pièce(s) jointe(s) ouvertes - après leur ouverture et le cliquage dessus - sur un (des) réseau(x) isolé(s) / séparé(s) vers le (les) destinataire(s) initial (initiaux).- step 3), the return of the files and / or data recovered from the hypertext link (s) and / or the open attachment (s) - after they have been opened and click on it - on an isolated / separate network (s) towards the initial recipient (s). [Revendication 13] Un programme d’ordinateur appelé dans cette demande de brevet programme 4, comprenant des instructions de code qui, lorsqu’elles sont exécutées sur un processeur, réalisent les étapes du Procédé de la revendication 12.[Claim 13] A computer program called in this patent application program 4, comprising code instructions which, when executed on a processor, carry out the steps of the Method of claim 12. [Revendication 14] Procédé de défense contre les attaques informatiques par la détection d’activité (s) / présence(s) illégitime(s) sur un (des) réseau(x) in formatique(s) par une comparaison de (des) « données de présence(s) et/ ou absence(s) physiques » des utilisateurs légitimes à de (des) « données d’activité(s) informatique(s) des utilisateurs légithne(s) ».[Claim 14] Method of defense against computer attacks by detecting illegitimate activity (ies) / presence (s) on a computer network (s) by a comparison of (s) "Data of presence (s) and / or physical absence (s)" of legitimate users to "data of computer activity (s) of legitithne users". [Revendication 15] Procédé selon la revendication 14 caractérisé en ce que la défense contre les attaques informatiques par la détection d’activité (s) - présence(s) illégitime(s) sur un (des) réseau(x) informatique(s) est réalisée par une comparaison des données de présence(s) / absence(s) physique(s) d’un utilisateur légitime d’une adresse IP à l’activité sur un (des) réseau(x) informatique(s) de cette même adresse IP.[Claim 15] Method according to claim 14 characterized in that the defense against computer attacks by detecting activity (s) - illegitimate presence (s) on a computer network (s) is carried out by a comparison of the presence data (s) / physical absence (s) of a legitimate user of an IP address with activity on a computer network (s) of this same IP address. [Revendication 16] Un programme appelé dans cette demande de brevet : programme 5, comprenant des instructions de code qui, lorsqu’elles sont exécutées sur un processeur, réalisent les étapes du Procédé des revendications 14 et 15.[Claim 16] A program called in this patent application: program 5, comprising code instructions which, when executed on a processor, carry out the process steps of claims 14 and 15.
FR1872211A 2018-12-03 2018-12-03 Computer attack defense methods and programs Pending FR3089321A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
FR1872211A FR3089321A1 (en) 2018-12-03 2018-12-03 Computer attack defense methods and programs

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FR1872211 2018-12-03
FR1872211A FR3089321A1 (en) 2018-12-03 2018-12-03 Computer attack defense methods and programs

Publications (1)

Publication Number Publication Date
FR3089321A1 true FR3089321A1 (en) 2020-06-05

Family

ID=67999682

Family Applications (1)

Application Number Title Priority Date Filing Date
FR1872211A Pending FR3089321A1 (en) 2018-12-03 2018-12-03 Computer attack defense methods and programs

Country Status (1)

Country Link
FR (1) FR3089321A1 (en)

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
DUAN QI ET AL: "CONCEAL: A Strategy Composition for Resilient Cyber Deception-Framework, Metrics and Deployment", 2018 IEEE CONFERENCE ON COMMUNICATIONS AND NETWORK SECURITY (CNS), IEEE, 30 May 2018 (2018-05-30), pages 1 - 9, XP033383993, DOI: 10.1109/CNS.2018.8433196 *
STEFAN ACHLEITNER ET AL: "Cyber Deception", MANAGING INSIDER SECURITY THREATS, ACM, 2 PENN PLAZA, SUITE 701 NEW YORK NY 10121-0701 USA, 28 October 2016 (2016-10-28), pages 57 - 68, XP058300376, ISBN: 978-1-4503-4571-2, DOI: 10.1145/2995959.2995962 *
SUN JIANHUA ET AL: "DESIR: Decoy-enhanced seamless IP randomization", IEEE INFOCOM 2016 - THE 35TH ANNUAL IEEE INTERNATIONAL CONFERENCE ON COMPUTER COMMUNICATIONS, IEEE, 10 April 2016 (2016-04-10), pages 1 - 9, XP032930236, DOI: 10.1109/INFOCOM.2016.7524602 *

Similar Documents

Publication Publication Date Title
McGuire et al. Cyber crime: A review of the evidence
Ramadan et al. Cybersecurity and Countermeasures at the Time of Pandemic
Catakoglu et al. Automatic extraction of indicators of compromise for web applications
CN113225349B (en) Method and device for establishing malicious IP address threat intelligence library and preventing malicious attack
Kim et al. The dark side of the Internet: Attacks, costs and responses
Fossi et al. Symantec internet security threat report trends for 2010
Vacca Network and system security
Herr PrEP: A framework for malware & cyber weapons
Testa et al. Illegal roaming and file manipulation on target computers: Assessing the effect of sanction threats on system trespassers’ online behaviors
Florêncio et al. Where do all the attacks go?
Kalla et al. Phishing detection implementation using databricks and artificial Intelligence
Bollinger et al. Crafting the InfoSec playbook: security monitoring and incident response master plan
Teichmann et al. The evolution of ransomware attacks in light of recent cyber threats. How can geopolitical conflicts influence the cyber climate?
WO2016014014A1 (en) Remedial action for release of threat data
Wilner et al. On the social science of ransomware: Technology, security, and society
Turban et al. E-commerce security and fraud issues and protections
Perera et al. The next gen security operation center
Broadhurst et al. Crime in cyberspace: offenders and the role of organized crime groups
Zhang et al. Data breach: analysis, countermeasures and challenges
Kaur et al. Cybersecurity threats in Fintech
Khosrow-Pour Encyclopedia of Criminal Activities and the Deep Web
WO2023052728A1 (en) Method for analyzing the vulnerability of an information system to a cyber attack
FR3089321A1 (en) Computer attack defense methods and programs
Sleem A Comprehensive Study of Cybersecurity Threats and Countermeasures: Strategies for Mitigating Risks in the Digital Age.
AlMasri et al. Detecting Spyware in Android Devices Using Random Forest

Legal Events

Date Code Title Description
PLSC Publication of the preliminary search report

Effective date: 20200605

PLFP Fee payment

Year of fee payment: 3

PLFP Fee payment

Year of fee payment: 4